springboot + shiro实现帐号登录人数控制

最新推荐文章于 2023-07-17 10:49:23 发布
最新推荐文章于 2023-07-17 10:49:23 发布
阅读量2.1k 收藏 14
点赞数 4
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_33969289/article/details/87740294
版权

业务场景

在某些项目中可能会遇到如每个账户同时只能有一个人登录或几个人同时登录,如果同时有多人登录:要么不让后者登录;要么踢出前者登录(强制退出)。

 

思路

Shiro没有提供默认实现,不过可以很容易的在Shiro中加入这个功能。通过Shiro Filter机制扩展自己的过滤器实现。

来看看AccessControlFilter

AccessControlFilter提供了访问控制的基础功能;比如是否允许访问/当访问拒绝时如何处理等:

isAccessAllowed:表示是否允许访问;mappedValue就是[urls]配置中拦截器参数部分,如果允许访问返回true,否则false

onAccessDenied:表示当访问拒绝时是否已经处理了;如果返回true表示需要继续处理;如果返回false表示该拦截器实例已经处理了,将直接返回即可。

 shiro拦截器机制可以看这篇文章:https://jinnianshilongnian.iteye.com/blog/2025656

 

代码实现思路

如果当前访问没有登录则直接放行;否则获取当前session信息,根据session获取redis中保存帐号sessionList队列,如果List中没有这个seesion信息且session状态没被T除则将当前session存入redis;接下在判断队列里面session个数如果大于1个则把先前session的状态改为已T除;这样当前一个session再次访问时直接告诉用户已被强制下线。

参考代码

https://github.com/gemingyi/shiro_demo/tree/master/shiro

代码实现

下面我们来看看自定义KickoutSessionControlFilter具体实现

public class KickoutSessionControlFilter extends AccessControlFilter {

    private String kickoutPrefix;

    private RedisTemplate redisTemplate;

    private SessionManager sessionManager;


    @Override
    protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception {
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
        Subject subject = getSubject(servletRequest, servletResponse);
        //如果没有登录,不进行多出登录判断
        if (!subject.isAuthenticated() && !subject.isRemembered()) {
            return true;
        }

        Session session = subject.getSession();
        String username = (String) subject.getPrincipal();
        Serializable sessionId = session.getId();
        //获取redis中数据
        ArrayList<Serializable> deque = (ArrayList<Serializable>) redisTemplate.opsForList().range(kickoutPrefix + username, 0, -1);
        if (deque == null || deque.size() == 0) {
            deque = new ArrayList<>();
        }

        //如果队列里没有此sessionId,且用户没有被踢出,当前session放入队列
        if (!deque.contains(sessionId) && session.getAttribute("kickout") == null) {
            deque.add(sessionId);
            redisTemplate.opsForList().leftPush(kickoutPrefix + username, sessionId);
        }

        //如果队列里的sessionId数大于1,开始踢人
        while (deque.size() > 1) {
            //获取第一个sessionId(arrayList方法有限转成LinkedList)
            Serializable kickoutSessionId = (Serializable) new LinkedList(deque).removeFirst();
            deque.remove(kickoutSessionId);
            redisTemplate.opsForList().remove(kickoutPrefix + username, 1, kickoutSessionId);

            try {
                Session kickoutSession = sessionManager.getSession(new DefaultSessionKey(kickoutSessionId));
                //设置会话的kickout属性表示踢出了
                if (kickoutSession != null) {
                    kickoutSession.setAttribute("kickout", true);
                }
            } catch (Exception e) {
                e.printStackTrace();
            }
        }

        //session包含kickout属性,T出
        if (session.getAttribute("kickout") != null) {
            try {
                subject.logout();
            } catch (Exception e) {
                e.printStackTrace();
            }

            saveRequest(servletRequest);
            //返回401
            HttpServletResponse httpResponse = (HttpServletResponse) servletResponse;
            httpResponse.setStatus(HttpStatus.OK.value());
            httpResponse.setContentType("application/json;charset=utf-8");
            httpResponse.getWriter().write("{\"code\":" + CodeAndMsgEnum.UNAUTHENTIC.getcode() + ", \"msg\":\"" + "当前帐号在其他地方登录,您已被强制下载!" + "\"}");

            return false;

        }
        return true;
    }

    public void setKickoutPrefix(String kickoutPrefix) {
        this.kickoutPrefix = kickoutPrefix;
    }

    public void setSessionManager(SessionManager sessionManager) {
        this.sessionManager = sessionManager;

    }

    public void setRedisTemplate(RedisTemplate redisTemplate) {
        this.redisTemplate = redisTemplate;

    }
}

ShiroConfiguration配置类

@Bean(name = "kickoutSessionControlFilter")
public KickoutSessionControlFilter jwtFilter(SessionManager sessionManager, RedisTemplate redisTemplate) {
    KickoutSessionControlFilter kickoutSessionControlFilter = new KickoutSessionControlFilter();
    kickoutSessionControlFilter.setSessionManager(sessionManager);
    kickoutSessionControlFilter.setRedisTemplate(redisTemplate);
    kickoutSessionControlFilter.setKickoutPrefix(kickoutPrefix);
    return kickoutSessionControlFilter;
}

@Bean(name = "shiroFilter")
public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager, KickoutSessionControlFilter kickoutSessionControlFilter) {
    …
    //注意拦截链配置顺序 不能颠倒
    Map<String, String> filterChainDefinitionMap = new LinkedHashMap();
    …
    //拦截所有请求
    filterChainDefinitionMap.put("/**", "kickout,authc");
   );
    …
}

接口测试

先登录统一帐号2次登录

第一个session访问正常

看看redis中队列session

 

第二个session访问接口正常

 

再看看redis中的数据

 

第一个session再次访问

 

参考代码

1、第十八章 并发登录人数控制——《跟我学Shiro》

baidu_33969289
关注
专栏目录
SpringBoot+Shiro学习之自定义拦截器管理在线用户(踢出用户
qq_20954959的博客
03-05 1万+
应用场景 我们经常会有用到,当A 用户在北京登录 ,然后A用户在天津再登录 ,要踢出北京登录的状态。如果用户在北京重新登录,那么又要踢出天津的用户,这样反复。又或是需要限制同一用户的同时在线数量,超出限制后,踢出最先登录的或是踢出最后登录的。 第一个场景踢出用户是由用户触发的,有时候需要手动将某个在线用户踢出,也就是对当前在线用户的列表进行管理。 ··························
spring boot + shiro + redis 整合(完整)
qq_45275875的博客
04-17 7321
spring boot + shiro + redis 整合(完整)什么是shiro?数据库设计 什么是shiro? shiro是一个Java平台的开源权限框架,用于认证和访问授权。具体来说,满足对如下元素的支持: 用户,角色,权限(仅仅是操作权限,数据权限必须与业务需求紧密结合),资源(url) 用户分配角色,角色定义权限 访问授权时支持角色或者权限,并且支持多级的权限定义 数据库设计 数据...
Springboot + redis+shiro 限制 同一账号 同时 多处登录
Joe_elena的博客
08-23 6814
从网上看了很多解决方案,用的最多的 应当是SessionId 了。方案虽多,适合自己的才是最好的。 之前做了一个 在线用户的统计 和 管理员 踢出激活在线用户的功能,因此我得到了一个启发。程序是死的,人是活得,我可不可以定一些规则,让程序 根据我的规定 来 运行。 思路: 1.定规则。 将 踢出的用户 画一个标识,也就是 访问的Sess ionId。踢出了 我将它标记为false 如果 ...
SpringBoot 并发登录人数控制实现方法
08-25
主要介绍了SpringBoot 并发登录人数控制实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot + shiro 实现登录人数控制
快乐的小三菊的博客
06-01 1198
背景: shiro 可以实现控制系统内用户登录人数的功能,比如用户 A 在天津登录,同一时刻用户 B 在北京登录,若要保证某一时刻只能有一个人登录的话,就需要踢掉用户 A,因为它是第一次登录的,若此时用户 A 再次登录,则会踢掉用户 B,如此反复。即可实现某一时刻系统只有一个人登录实现起来很简单,只需要自定义实现 shiro 的 filter 即可,下面我们来看下具体是如何实现的。 新增拦截器: 首先,我们新建一个拦截器类KickoutSessionC...
Shiro功能应用(五)--Session管理的登陆人数控制
假人一个的博客
04-26 911
     登陆人数控制,比如同一个用户不能在两个地方登陆。Shiro主要基于自定义的Fliter实现的。本文在上一篇文章Shiro功能应用(四)–Session管理及在线人数统计代码基础进行添加登陆人数控制。 代码实现:       代码地址:       &nb...
springboot + shiro登录人数限制、登录判断重定向、session时间设置
weixin_33720078的博客
04-24 529
springboot + shiro登录人数控制 项目 前篇:spring boot + mybatis + layui + shiro后台权限管理系统:https://blog.51cto.com/wyait/2082803 本文是基于spring boot + mybatis + layui + shiro后台权限管理系统开发的,新增功能: shiro并发登陆人数控制(超出登录...
springboot + shiro 实现登录认证和权限控制
weixin_33908217的博客
04-23 188
前言 这段时间在学习springboot,在spring security和shiro中选择了shiro,原因就是shiro学习成本比较低,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,,而且粗粒度也可以根据需要来定制,所以使用小而简单的Shiro就足够了。本文主要参考了z77z的SpringBoot+shiro整合学习之登录认证和权限控制 源码项...
spring boot + shiro 实现登陆 踢出用户功能 (挤人) 以及UnknownSessionException异常问题 记住我功能
AmbroseLe
12-23 8044
简介:踢出用户功能:就是限制一个账号登陆人数。 本文限定一个账号一个用户登陆,并且是挤掉前一个用户 目录 首先 pom 然后Shiro配置Bean ShiroConfigBean 然后配置 ShiroRealm(百度翻译: Realm 领域) 然后sessiondao SessionDAO 然后 配置踢人(挤人)逻辑 Kicko...
SpringBoot+Shiro学习之密码加密和登录失败次数限制
qq_20954959的博客
03-13 7198
springboot+shiro学习笔记
springboot整合shiro-在线人数以及并发登录人数控制(七)
这个名字想了很久
09-02 2万+
原文地址,转载请注明出处:&amp;amp;nbsp;https://blog.csdn.net/qq_34021712/article/details/80457041&amp;amp;nbsp;&amp;amp;nbsp; &amp;amp;nbsp;&amp;amp;nbsp;©王赛超&amp;amp;nbsp; 项目中有时候会遇到统计当前在线人数的需求,也有这种情况当A 用户在邯郸地区登录 ,然后A用户在北京地区再登录 ,要踢出邯郸登录的状态。如果用
springboot2+shiro+redis限制同一账号同时在线人数
最新发布
小灰灰的博客
07-17 1161
springboot2+shiro+redis限制同一账号同时在线人数
SpringBoot+Redis 防止用户重复登录
weixin_43165220的博客
09-01 4009
防止用户重复登录,在redis中存储登录信息有两种方式:第一种是以用户名作为redis的key,用户信息作为value,用户信息里面包含了token;第二种是用户名和token分别为key,用户名对应的value是用户信息,token对应的value是用户名。...
Shiro】7、Shiro实现控制用户并发登录并踢人下线
热门推荐
Asurplus
05-22 20万+
在传统的项目中,同一账户是允许多人同时登录在线的,有的使用场景恰恰是不允许多人同时在线的,那么我们可以通过 Shiro控制并发登录,并实现登录用户,挤掉前面登录用户 1、并发登录过滤器 package com.asurplus.common.shiro; import com.asurplus.system.entity.SysUserInfo; import org.apache.shiro.SecurityUtils; import org.apache.shiro.cache.Cach
SpringBoot Shiro实现并发登录人数控制(二)
pukun888的博客
11-04 792
1. 新增KickoutSessionControlFilter.java package com.pk.ass.config; import org.apache.shiro.cache.Cache; import org.apache.shiro.cache.CacheManager; import org.apache.shiro.session.Session; import org.apache.shiro.session.mgt.DefaultSessionKey; import org.
SpringBoot Shiro用户登录控制及同一浏览器登录多个账号 session相互覆盖问题
qq_38322989的博客
05-27 4241
SpringBoot Shiro 框架实现同一个浏览只能一个账号登录 问题点: 同一个浏览器上登录多个三员账号,后登陆的会覆盖前面的session,但是前面的页面没有退出(后续请求使用的是后登录用户的session),导致日志记录等获取的当前操作主体不准确 解决: 在 login 方法中加入以下方法 Subject subject = SecurityUtils.getSubject(); if(subject.getPrincipal()!= null){ String msg2=
java的remove方法_Java ArrayDeque remove()方法与示例
cumtb2009的博客
07-17 1482
java的remove方法 ArrayDeque类remove()方法 (ArrayDeque Class remove() method) Syntax: 句法: public boolean remove(Object obj); public T remove(); remove() method is available in java.lang package....
五、Springboot 整合Shiro---03认证---第三方QQ登陆
itxsl的博客
07-21 4889
本章节基于:四、Springboot 整合Shiro---02认证---记住我 在开始之前,先要理解一下oauth2: 推荐去看一下(六、授权码模式):阮一峰讲解的oauth2 下面附上一张阮一峰博客上的一张截图: 接下来为QQ第三方登陆开发做准备: 一、注册成为开发者 http://wiki.connect.qq.com/%E6%88%90%E4%B8%BA%E5%BC%80%E...
SpringBoot整合Shiro实现登录
qq_40738239的博客
02-14 994
SpringBoot整合Shiro实现登录 和 退出登录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值