Spring boot +Spring security4 config 配置同账号登录只允许一个在线

最新推荐文章于 2024-08-07 17:18:08 发布
最新推荐文章于 2024-08-07 17:18:08 发布
阅读量8.3k 收藏 8
点赞数 1
分类专栏: spring boot 文章标签: spring boot spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ayou_java/article/details/78902173
版权

关于网上说的http方式配置无效问题,经验证,有点误导人,并且配置方式感觉过于复杂。

目前这种方式感觉是最简洁的一种方式。

一、核心配置:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {


    @Resource
    private SessionRegistry sessionRegistry;

    /**
     * 设置URL的验证规则 Request层面的配置,对应XML Configuration中的<http>元素
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/login.html", "/logout.html").permitAll()
                .anyRequest().authenticated(); //登陆和登出可以匿名访问,其他的请求都必须要有权限认证
        http.addFilterBefore(myValidCodeProcessingFilter(), UsernamePasswordAuthenticationFilter.class);//添加自定义验证规则

        http.formLogin()
                .loginPage("/login.html")//设置登陆页面
                .loginProcessingUrl("/login")//登陆处理路径

        http.logout()
                .logoutUrl("/logout.html")//设置登出处理的url
                .logoutSuccessUrl("/");//设置登出成功后跳转页面,默认是跳转到登录页面

        http.headers()
                .frameOptions()//解决不允许显示在iframe的问题
                .sameOrigin()
                .httpStrictTransportSecurity()
                .disable();

        http.csrf()
                .disable();//关闭crsf

        //session管理
        //session失效后跳转
        http.sessionManagement()
		.invalidSessionUrl("/login.html");  

	http.sessionManagement()//只允许一个用户登录,如果同一个账户两次登录,那么第一个账户将被踢下线,跳转到登录页面
               	.maximumSessions(1) 
		.sessionRegistry(sessionRegistry) 
		.expiredUrl("/login.html");
    }


    //session失效跳转
    private SessionInformationExpiredStrategy sessionInformationExpiredStrategy() {
        return new SimpleRedirectSessionInformationExpiredStrategy("/login.html");
    }

    @Bean
    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl();
    }

    //SpringSecurity内置的session监听器
    @Bean
    public HttpSessionEventPublisher httpSessionEventPublisher() {
        return new HttpSessionEventPublisher();
    }

    @Bean
    public MyValidCodeProcessingFilter myValidCodeProcessingFilter() throws Exception {
        MyValidCodeProcessingFilter filter = new MyValidCodeProcessingFilter();
        filter.setAuthenticationManager(authenticationManagerBean());
        //设置登陆成功后跳转的URL
        filter.setAuthenticationSuccessHandler(new SimpleUrlAuthenticationSuccessHandler("/index.html"));
        //设置登陆失败后跳转的URL
        //如果不设置这两个属性,会导致登陆成功后访问默认地址/
        filter.setAuthenticationFailureHandler(new SimpleUrlAuthenticationFailureHandler("/login.html?error=1"));
        filter.setSessionAuthenticationStrategy(new ConcurrentSessionControlAuthenticationStrategy(sessionRegistry));
        return filter;
    }

    //其他代码省略···
}











二、重要的一步:重写User的hashCode、toString和equals方法。(如果继承的UserDetails,则重写UserDetails的三个方法)






import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.User;

import java.util.Collection;

/**
 * @author Xie Yuan You
 * <p>Created in 上午 11:30 2017/3/1 0001
 * @version v.0.0.1
 *	
 */
public class SecurityUser extends User {

	/**
	 * 
	 */
	private static final long serialVersionUID = 1L;
	private User sysUser;

	public SecurityUser(String username, String password, boolean enabled, boolean accountNonExpired,
                        boolean credentialsNonExpired, boolean accountNonLocked,
                        Collection<? extends GrantedAuthority> authorities) {
		super(username, password, enabled, accountNonExpired, credentialsNonExpired, accountNonLocked, authorities);

	}

	public User getSysUser() {
		return sysUser;
	}

	public void setSysUser(User sysUser) {
		this.sysUser = sysUser;
	}

	/**
	 * 重写方法用于sessionRegistry
	 * @return
	 */
	@Override
	public String toString() {
		return super.getUsername();
	}

	/**
	 * 重写方法用于sessionRegistry
	 * @return
	 */
	@Override
	public boolean equals(Object rhs) {
		return this.toString().equals(rhs.toString());
	}

	/**
	 * 重写方法用于sessionRegistry
	 * @return
	 */
	@Override
	public int hashCode() {
		return super.getUsername().hashCode();
	}
}









三、重写UsernamePasswordAuthenticationFilter:用户名密码验证通过后,注册session


public class MyValidCodeProcessingFilter extends UsernamePasswordAuthenticationFilter {

    //省略部分代码......
    @Resource
    private SessionRegistry sessionRegistry;
	

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        
	//省略部分代码......
 
	UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, password);
	//用户名密码验证通过后,注册session
        sessionRegistry.registerNewSession(request.getSession().getId(),token.getPrincipal());

        
	//省略部分代码......
 	this.setDetails(request, token); 
	return this.getAuthenticationManager().authenticate(token); 
	}
 }











































                

        

        

    

  


    

      

        

            

              
                
                  ayou_java
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
利用spring security控制同一个用户只能一次登陆

				
			

			

				

					04-21
				

			

		

		

			
				
NULL
博文链接:https://lihao312.iteye.com/blog/1909205

			
		

	



                

              
                



	

		

			

				
					
6spring boot+security+oauth2 第三方登录1

				
			

			

				

					08-08
				

			

		

		

			
				
4. 用户认证:成功获取到令牌后,Spring Security会自动处理用户的认证过程,创建并存储一个Spring Security的`Authentication`对象,使得用户可以在应用中以GitHub的身份进行操作。  5. 结合JWT:在某些情况下,...

			
		

	



                


  
              

                


	

		

			

				
					
Spring Security控制只能有一个用户在线

				
			

			

				

					freelyeagle的博客
				

				

					01-09
					
					1736
					
				

			

		

		

			
				
在最近的一个项目中需要用到同时只能允许一个用户在线,该系统是一个线上考试系统,要求同一个考生在不同的浏览器上同时只能有一个在线。框架用的Spring SecuritySpring Security本身时有关于Session控制的,只需要在配置文件中进行配置就可以实现。

第一步需要在web.xml里配置HttpSessionEventPublisher,如下所示,只要在web.xml文件里加上这...

			
		

	





	

		

			

				
					
SpringSecurity-前后端分离

					
最新发布

				
			

			

				

					Life And Code
				

				

					08-07
					
					623
					
				

			

		

		

			
				
Spring SecuritySpring家族中的一个安全管理框架。相比于另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架,小项目用Shiro的比较多。相比于SpringSecurity,Shiro的上手更加简单。一般Web应用需要进行认证和授权。

			
		

	



		

			
		



	

		

			

				
					
Springboot同一时间单个账户只能单个用户登录

				
			

			

				

					qq_43248658的博客
				

				

					05-09
					
					6062
					
				

			

		

		

			
				
在application中注册一个全局变量
@SpringBootApplication
public class application{
	public static void main (String[] args) {
		SpringApplication.run(Application.class);
	}
	
	public static ManagerSessions manage...

			
		

	





	

		

			

				
					
SpringBoot整合SpringSecurity,SESSION 并发管理,同账号允许登录一次

				
			

			

				

					weixin_30335575的博客
				

				

					06-02
					
					1049
					
				

			

		

		

			
				
重写了UsernamePasswordAuthenticationFilter,里面继承AbstractAuthenticationProcessingFilter,这个类里面的session认证策略,是一个空方法,貌似RememberMe也是.


public abstract class AbstractAuthenticationProcessingFilter extend...

			
		

	





	

		

			

				
					
SpringSecurity - 学习笔记 - 会话管理之并发控制:同一账号允许一个设备登录

				
			

			

				

					灵台方寸山斜月三星洞
				

				

					01-18
					
					1897
					
				

			

		

		

			
				
SpringSecurity - 学习笔记 - 会话管理之并发控制:同一账号允许一个设备登录场景需求分析配置`web.xml``application-security.xml`参考消息
场景
接手一个老项目:
先上pom.xml
		...略
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-webmvc</artifactId>
		

			
		

	





	

		

			

				
					
spring boot + security + jwt 制作用户登录,角色鉴权

				
			

			

				

					07-03
				

			

		

		

			
				
在本文中,我们将深入探讨如何使用Spring BootSpring Security以及JSON Web Tokens (JWT) 创建一个用户登录系统,并实现角色鉴权。Spring Boot以其简洁的配置和强大的功能在现代Java开发中占据重要地位,而Spring ...

			
		

	





	

		

			

				
					
Spring boot + Spring Security 简单配置实例

				
			

			

				

					01-23
				

			

		

		

			
				
现在,你已经拥有一个基于Spring BootSpring Security和MongoDB的基础安全配置实例。通过此设置,你可以实现用户登录、权限控制以及密码加密等功能。随着需求的增长,你可以进一步扩展这个基础,例如添加自定义的...

			
		

	





	

		

			

				
					
spring boot+thymeleaf+mybatis+mysql

				
			

			

				

					11-18
				

			

		

		

			
				
在本项目中,"spring boot+thymeleaf+mybatis+mysql" 是一个常见的Web应用开发框架组合,尤其适合初学者快速构建基于Java的Web应用程序。以下将详细阐述这四个关键技术及其整合过程中的关键知识点。  1. Spring Boot...

			
		

	





	

		

			

				
					
Restful风格服务端应用的Spring Boot + Spring Security配置 

				
			

			

				

					06-08
				

			

		

		

			
				
通过自动配置和起步依赖,Spring Boot允许我们快速地搭建一个可运行的应用。对于RESTful服务,我们通常会使用Spring MVC或Spring WebFlux来处理HTTP请求。  Spring SecuritySpring生态中的一个强大安全框架,它...

			
		

	





	

		

			

				
					
SpringSecurity3.1.2控制一个账户同时只能登录一次

				
			

			

				

					06-01
				

			

		

		

			
				
NULL
博文链接:https://aokunsang.iteye.com/blog/1944111

			
		

	





	

		

			

				
					
java只允许一个用户登陆_spring boot security允许一个用户(test1)登录

				
			

			

				

					weixin_39521520的博客
				

				

					02-28
					
					603
					
				

			

		

		

			
				
我使用spring boot security编写了登录功能 .这是SecurityConfig类中的configureGlobal方法,扩展了WebSecurityConfigurerAdapter .@Autowiredprivate DataSource dataSource;@Autowiredpublic void configureGlobal(AuthenticationManage...

			
		

	





	

		

			

				
					
Spring Boot + Spring Security 防止用户在多处同时登录一个用户同时只能登录一次)及源码分析

					
热门推荐

				
			

			

				

					杰明Jamin的博客
				

				

					01-02
					
					4万+
					
				

			

		

		

			
				
Spring Boot + Spring Security 防止用户在多处同时登录一个用户同时只能登录一次)及源码分析,网上很多文章的实现方法写得比较复杂 ,这里介绍一个简单的方法。

			
		

	





	

		

			

				
					
Spring Boot 实现用户登陆并限制同一用户只在一个地方登陆

				
			

			

				

					范学博的博客
				

				

					07-10
					
					3万+
					
				

			

		

		

			
				
开始写文章,主要为了记录自己开发过程中遇到的问题,是已经解决了的问题,分享出来交流学习。
如若个人理解有误,文章中有不正确的地方,希望大家批评指正,我会继续学习,及时改正。

本文主旨实现用户登陆并且限制同一个用户只在一个地方是登陆状态,并没有用Zuul实现,是自己的一个实现方法。
项目架构:Spring Boot + Spring Cloud + Angularjs(前端),前端会控制未登录时只...

			
		

	





	

		

			

				
					
spring security用户不能重复登录 一个账号只在一个地方登录 踢下线

				
			

			

				

					又逢乱世
				

				

					03-07
					
					1479
					
				

			

		

		

			
				
官网地址:Session Management :: Spring Security


			
		

	





	

		

			

				
					
spring-security 一个用户只能登陆一次

				
			

			

				

					weixin_30591551的博客
				

				

					07-21
					
					188
					
				

			

		

		

			
				
spring-security 一个用户只能登陆一次

        
	
        
            

    首先假设你的security能正常的运行了,一般的配置都没问题的情况下,实现一个用户只能登陆一次,大概只需要两步。
第一步 在你的web.xml中加入监听器

    <listener>  ...

			
		

	





	

		

			

				
					
SpringSecurity-11-只允许一个用户登录

				
			

			

				

					zhoubangbang1的博客
				

				

					03-30
					
					3761
					
				

			

		

		

			
				
SpringSecurity-11-只允许一个用户登录本次给你介绍只允许用户在一个地方登录,也就是说每个用户只允许一个Session。他有两种场景如果同一个用户在第二个地方登录,则将第一个登录下线如果同一个用户在第二个地方登录,则不允许二次的登录一个用户在第二个地方登录,则将第一个登录退出 具体步骤如下:重构com.security.learn.config.LearnSrpingSecurityconfigure(HttpSecurity http)方法   &nbsp

			
		

	





	

		

			

				
					
Springboot 实现单点登录

				
			

			

				

					12逝水流年12
				

				

					07-23
					
					4566
					
				

			

		

		

			
				
一、单系统登录机制

1、http无状态协议

  web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系



  但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,必须鉴别浏览器请求,响应合法请求,忽略非法请求;要鉴别浏览器请求,必须清楚浏览器请求状态。既然http协议无状态,

			
		

	





	

		

			

				
					
Spring boot+spring security实现一个账号登陆一次

				
			

			

				

					03-02
				

			

		

		

			
				
以下是一个简单的Spring Security配置示例:  ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter {    @Autowired  private UserDetailsService ...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 5

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值