以前第一次遇到这个问题,求这个问那个,不知道的帮不了你,知道的不告诉你(因为他们太大牛,不屑与你),受尽了气。所以还是得自己提高自己,不要想着把别人当资源,而是把自己变成别人的资源。
好了,抱怨结束,开始正事,实现思路如下:
新建一个filter,对全局所有请求进行过滤;
filter里面获取application,使用application存储username,Deque的键值对,Deque中存放sessionId;
每次经过这个过滤器,在过滤方法中使用application根据username获取Deque,把新生成的sessionId存入进去,之后判断Deque的size,如果大于1,则移除新加之外的所有sessionId,使用remove方法是接收返回值,这个返回值即是旧登录地点的sessionId,根据这个sessionId创建一个session,给这个session设置一个键值对(“是否异地登录”,true),
最后,在过滤方法来进行一个判断,如果当前session的“是否异地登录”为true,那么过滤器返回false,提示异地登录
示例代码参考地址:http://jinnianshilongnian.iteye.com/blog/2039760
package cn.filter;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.DefaultSessionKey;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.AccessControlFilter;
import org.apache.shiro.web.util.WebUtils;
import java.util.Deque;
import java.util.LinkedList;
import javax.servlet.ServletContext;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
public class KickoutFilter extends AccessControlFilter {
private String kickoutUrl; // 踢出后到的地址
private SessionManager sessionManager;
public String getKickoutUrl() {
return kickoutUrl;
}
public void setKickoutUrl(String kickoutUrl) {
this.kickoutUrl = kickoutUrl;
}
public SessionManager getSessionManager() {
return sessionManager;
}
public void setSessionManager(SessionManager sessionManager) {
this.sessionManager = sessionManager;
}
@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)
throws Exception {
// TODO Auto-generated method stub
return false;
}
@Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
// TODO Auto-generated method stub
Subject subject = getSubject(request, response);
if (!subject.isAuthenticated() && !subject.isRemembered()) {
// 如果没有登录,直接进行之后的流程
return true;
}
String username = (String) subject.getPrincipal();
Session session = subject.getSession();
String sessionId = (String) session.getId();
HttpServletRequest req = WebUtils.toHttp(request);
ServletContext application = req.getSession().getServletContext();
Deque<Object> deque = deque = (Deque<Object>) application.getAttribute(username);
if (deque == null) {
deque = new LinkedList<>();
deque.push(sessionId);
application.setAttribute(username, deque);
return true;
}
if (!deque.contains(sessionId) && session.getAttribute("kickout") == null) {
deque.push(sessionId);
}
System.out.println(sessionId);
System.out.println(deque.contains(sessionId));
System.out.println(session.getAttribute("kickout"));
System.out.println();
for (Object object : deque) {
System.out.println(object.toString());
}
System.out.println();
System.out.println();
System.out.println();
while (deque.size() > 1) {
String kickSessionId = (String) deque.removeLast();
System.out.println(kickSessionId);
System.out.println();
System.out.println();
System.out.println();
if (kickSessionId != null) {
Session kickoutSession = sessionManager.getSession(new DefaultSessionKey(kickSessionId));
if (kickoutSession != null) {
kickoutSession.setAttribute("kickout", true);
}
}
}
if (session.getAttribute("kickout") != null) {
subject.logout();
saveRequest(request);
req.setAttribute("kickMsg", "该账号异地登录,您被强制下线");
WebUtils.issueRedirect(request, response, kickoutUrl);
return false;
}
return true;
}
}
-----------------------------------分割线------------------------------------
2019年12月5日:
最近看项目的代码我想到了这篇博客,特来记录一下现在的我实现这个功能的思路:
1.创建缓存类,有两个全局map。
map1存储token和用户对象,
map2存储用户对象id和token。
2.每次登录生成token,规则:当前时间戳+用户id(确保每次不一样)。
3.请求服务器的时候对请求参数token进行验证
a.根据缓存的map1获取用户对象,对象不存在返回前端登录无效;
b.map2根据token拿到的用户,用用户id拿出再拿token;
c.判断map2拿到的token和前端传递的tokne,两者一致则为单用户,正常执行,否则返回前端异地登陆
ps:这种方式可以确保后者登录挤掉前者。如果服务集群token存储在redis