spring security同一用户只允许登录一次

最新推荐文章于 2024-06-07 14:53:32 发布
最新推荐文章于 2024-06-07 14:53:32 发布
阅读量7.5k 收藏 14
点赞数 2
文章标签: java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bandancer/article/details/84922015
版权 
@Configuration
@EnableWebSecurity
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {

    @Resource  
    private SessionRegistry sessionRegistry;

    @Bean  
    public SessionRegistry sessionRegistry() {  
        return new SessionRegistryImpl();  
    } 

    /**
     * 强制下线过滤器.<br/>
     *
     * @return
     *
     */
    @Bean
    public ConcurrentSessionFilter concurrencyFilter() {
        // 定义session失效后,重定向的url
        ConcurrentSessionFilter concurrentSessionFilter = new ConcurrentSessionFilter(sessionRegistry(), "/kickout");
        concurrentSessionFilter.setRedirectStrategy(autoRedirectStrategy());
        return concurrentSessionFilter;
    }
...

    @Override
    protected void configure(HttpSecurity http) throws Exception {

...
        // 设定强制下线自定义过滤器
        http.addFilterAt(concurrencyFilter(), ConcurrentSessionFilter.class);
        //session管理
        //session失效后跳转  
        http.sessionManagement().invalidSessionUrl("/login"); 
        //只允许一个用户登录,如果同一个账户两次登录,那么第一个账户将被踢下线,跳转到登录页面
        http.sessionManagement().maximumSessions(1).sessionRegistry(sessionRegistry).expiredUrl("/login");
    }
}

 

UserInfo.java

 

public class UserInfo implements UserDetails {
...// 用户信息


    @Override
    public int hashCode() {
...// 自定义userInfo hashCode方法,session管理时会用做key
        return new HashCodeBuilder(17, 37).append(getCompanyId()).append(getUserId()).append(getUsername())
                .toHashCode();
    }

    @Override
    public boolean equals(Object obj) {
...// 自定义equals方法
        boolean isEqual = false;
        if (obj != null && UserInfo.class.isAssignableFrom(obj.getClass())) {
            UserInfo userInfo = (UserInfo) obj;
            isEqual = new EqualsBuilder().append(getCompanyId(), userInfo.getCompanyId())
                    .append(getUserId(), userInfo.getUserId()).append(getUsername(), userInfo.getUsername()).isEquals();
        }
        return isEqual;
    }

}

 

 

原理分析:

 

SessionRegistryImpl#registerNewSession(String sessionId, Object principal) 

把用户的sessionId添加到principals Map中,key为登录用户principal(userInfo)的hashCode();

 

public void registerNewSession(String sessionId, Object principal) {
		Assert.hasText(sessionId, "SessionId required as per interface contract");
		Assert.notNull(principal, "Principal required as per interface contract");

		if (logger.isDebugEnabled()) {
			logger.debug("Registering session " + sessionId + ", for principal "
					+ principal);
		}

		if (getSessionInformation(sessionId) != null) {
			removeSessionInformation(sessionId);
		}

		sessionIds.put(sessionId,
				new SessionInformation(principal, sessionId, new Date()));
                // 根据principal(UserInfo)取得用户所有session
		Set<String> sessionsUsedByPrincipal = principals.get(principal);
                
                // 如果为空,新建,key为userInfo的hashCode,就是上面提到的自定义hashCode方法。
		if (sessionsUsedByPrincipal == null) {
			sessionsUsedByPrincipal = new CopyOnWriteArraySet<String>();
			Set<String> prevSessionsUsedByPrincipal = principals.putIfAbsent(principal,
					sessionsUsedByPrincipal);
			if (prevSessionsUsedByPrincipal != null) {
				sessionsUsedByPrincipal = prevSessionsUsedByPrincipal;
			}
		}

		sessionsUsedByPrincipal.add(sessionId);

		if (logger.isTraceEnabled()) {
			logger.trace("Sessions used by '" + principal + "' : "
					+ sessionsUsedByPrincipal);
		}
	}

 

 ConcurrentSessionControlAuthenticationStrategy#onAuthentication 判断某个用户的session是否有超过设定连接数

 

public void onAuthentication(Authentication authentication,
			HttpServletRequest request, HttpServletResponse response) {
                // 取得用户所有session
		final List<SessionInformation> sessions = sessionRegistry.getAllSessions(
				authentication.getPrincipal(), false);

		int sessionCount = sessions.size();
                // 在WebSecurityConfigurer中设定的最大session数
		int allowedSessions = getMaximumSessionsForThisUser(authentication);

		if (sessionCount < allowedSessions) {
			// They haven't got too many login sessions running at present
			return;
		}

		if (allowedSessions == -1) {
			// We permit unlimited logins
			return;
		}

		if (sessionCount == allowedSessions) {
			HttpSession session = request.getSession(false);

			if (session != null) {
				// Only permit it though if this request is associated with one of the
				// already registered sessions
				for (SessionInformation si : sessions) {
					if (si.getSessionId().equals(session.getId())) {
						return;
					}
				}
			}
			// If the session is null, a new one will be created by the parent class,
			// exceeding the allowed number
		}
                // 失效时间最长的session
		allowableSessionsExceeded(sessions, allowedSessions, sessionRegistry);
	}

 

protected void allowableSessionsExceeded(List<SessionInformation> sessions,
			int allowableSessions, SessionRegistry registry)
			throws SessionAuthenticationException {
		if (exceptionIfMaximumExceeded || (sessions == null)) {
			throw new SessionAuthenticationException(messages.getMessage(
					"ConcurrentSessionControlAuthenticationStrategy.exceededAllowed",
					new Object[] { Integer.valueOf(allowableSessions) },
					"Maximum sessions of {0} for this principal exceeded"));
		}

		// Determine least recently used session, and mark it for invalidation
		SessionInformation leastRecentlyUsed = null;
                // 判断session中哪个最后的访问时间最长,设为失效
		for (SessionInformation session : sessions) {
			if ((leastRecentlyUsed == null)
					|| session.getLastRequest()
							.before(leastRecentlyUsed.getLastRequest())) {
				leastRecentlyUsed = session;
			}
		}

		leastRecentlyUsed.expireNow();
	}

 

在ConcurrentSessionFilter过滤器中

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;

		HttpSession session = request.getSession(false);

		if (session != null) {
			SessionInformation info = sessionRegistry.getSessionInformation(session
					.getId());

			if (info != null) {
                                // 如果session已经失效,重定向到设定好的expiredUrl中
				if (info.isExpired()) {
					// Expired - abort processing
					if (logger.isDebugEnabled()) {
						logger.debug("Requested session ID "
								+ request.getRequestedSessionId() + " has expired.");
					}
					doLogout(request, response);

					this.sessionInformationExpiredStrategy.onExpiredSessionDetected(new SessionInformationExpiredEvent(info, request, response));
					return;
				}
				else {
					// Non-expired - update last request date/time
					sessionRegistry.refreshLastRequest(info.getSessionId());
				}
			}
		}

		chain.doFilter(request, response);
	}

 

bandancer
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
利用spring security控制同一用户只能一次登陆
04-21
NULL 博文链接:https://lihao312.iteye.com/blog/1909205
SpringSecurity - 学习笔记 - 会话管理之并发控制:同一账号允许一个设备登录
灵台方寸山斜月三星洞
01-18 1854
SpringSecurity - 学习笔记 - 会话管理之并发控制:同一账号允许一个设备登录场景需求分析配置`web.xml``application-security.xml`参考消息 场景 接手一个老项目: 先上pom.xml ...略 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifactId>
springboot实现一个账号同时只能登录一个设备,其他设备登录登录之前登录账号强制下线
最新发布
2301_80333628的博客
06-07 433
这里每次登录的时候不仅会将token返回给前端,同时也会将token存到数据库里。目的就是通过对token的比较判断用户是否已经登录,如果数据库里有token,并且数据库里的token和此次登录的token不一致,说明已经有用户登录过了,此次登录的时候就会更新数据库里的token,之前登录用户登录状态就会失效了。因为没有使用redis,使用jwt生成的token也不会存在redis,将登录信息生成token,将生成的token以及用户信息一并返回给前端,前端每次访问后端的接口都会携带token过来。
java限制多人登录的_Spring Boot + Spring Security 防止用户在多处同时登录一个用户同时只能登录一次)及源码分析...
weixin_39923806的博客
02-24 2029
网上很多文章的实现方法写得比较复杂这里介绍一个简单的方法。实现@Configuration@EnableWebSecuritypublic class SecurityConfiguration extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exce...
九、Spring Security 防止用户在多处同时登录一个用户同时只能登录一次)及源码分析
panchang199266的博客
07-12 9072
参见Spring Boot + Spring Security 防止用户在多处同时登录一个用户同时只能登录一次)及源码分析
Spring Security 一个账号同一时刻只能登录一次
Excaliburace的博客
06-21 4583
网上看了很多资料,都是基于简单的使用的解决方案,今天项目中使用的时候直接照搬遇到了很大的阻力。几经周折终于搞定,废话不多说,一言不合就coding!1、首先web.xml配置security的监听器:<listener> <listener-class> org.springframework.security.web.session.HttpSessionEventPubl
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
11-13
Spring Boot Security 2.5.8 是一个强大的框架,用于为Spring Boot应用程序提供安全控制,包括身份验证和授权。在2.5.8版本中,它增强了灵活性和易用性,使得开发者能够轻松地实现复杂的安全需求。在这个项目中,...
spring security 官方文档
10-08
4. **会话管理(Session Management)**:Spring Security提供了强大的会话管理功能,可以限制同一用户同时在线的数量,检测会话劫持和会话固定攻击,并能实现会话超时策略。 5. **CSRF保护(Cross-Site Request ...
Spring Security 3多用户登录实现之十一 退出
04-13
Spring Security一个强大的安全框架,用于为Java应用提供安全控制,包括认证、授权以及会话管理等。在Spring Security 3中,实现多用户登录功能是构建安全Web应用的重要环节。退出功能则允许用户安全地结束他们的...
Spring Security如何在Servlet中执行
08-19
Spring Security一个强大的安全框架,专门用于处理Java应用的安全需求,包括认证和授权。在Servlet环境中,Spring Security通过集成到Servlet的过滤器链(Servlet Filter Chain)中来实现在Web应用中的安全控制。...
spring security自定义登录授权过滤器限制同一账号同时在线数量
L_D_W的博客
10-25 2245
摘要:本文主要目的是解决spring security在使用自定义登录授权过滤器时,在protected void configure(final HttpSecurity http)方法中设置maximumSessions属性不生效的问题。本文只是进行了粗略的思路,包含主要的代码片段,并非完整的业务代码,仅供参考。
Spring-security不能重复登录
huangshengzhi的专栏
12-24 3876
Spring-security 1  有没有发现一个问题,我们之前做的所有练习,都没的权限管理这个模块。我们的WEB应用中的同一个帐户可以在多台机器上同时登陆,每一个用户可以操作所有功能模块。这样在以后的应用开发中是结对不可行的!            今天的重点内容就是权限管理,如果使用传统的方式进行权限管理,在实现上多少有点麻烦。我在进行桌面开发时,涉及到的权限管理是向用户表中添加用户
Spring Security学习一-控制同个帐号当前只能有一个登录
lee353086的专栏
09-14 7559
使用spring security限制帐号在同一时间的激活数量。
看完就懂-SpringSecurity+JWT 实现单点登录
相约滦北来看你
05-03 938
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统
SpringSecurity3.1.2控制一个账户同时只能登录一次
aokunsang的博客
09-18 516
网上看了很多资料,发现多多少少都有一些不足(至少我在使用的时候没成功),后来经过探索研究,得到解决方案。   具体SpringSecurity3怎么配置参考SpringSecurity3.1实践,这里只讲如何配置可以控制一个账户同时只能登录一次的配置实现。   网上很多配置是这样的,在&lt;http&gt;标签中加入concurrency-control配置,设置max-sessio...
1.springSecurity前后端分离+全局异常捕获+token挤掉线+token续期+动态资源授权+验证码+前端明文加密
qq_42058998的博客
07-30 1869
springSecurity前后端分离+全局异常捕获+token挤掉线+token续期+动态资源授权
springsecurity允许一个用户登录
11-15
SpringSecurity 允许配置只允许一个用户登录,可以通过以下步骤实现: 1. 在 Spring Security 的配置文件中,使用 `session-management` 元素来配置会话管理策略。 2. 在 `session-management` 元素下,设置 `maximum-sessions` 属性为 1。这样就指定了只允许一个会话存在。 3. 将 `expired-url` 属性设置为用户登录超过最大会话时的跳转URL,可以是一个登录页面或其他指定的页面。 4. 对于其他用户,当他们尝试登录时,如果已经有用户登录,则会话将被标记为到期过期。通过配置 `expired-session-strategy` 并自定义一个实现 `SessionInformationExpiredStrategy` 的类来处理这种情况,可以在会话到期时触发自定义的操作。 总结来说,通过配置 Spring Security 的会话管理,并设置 `maximum-sessions` 属性为 1,同时自定义一个处理会话到期的策略,就可以实现只允许一个用户登录的功能。当其他用户尝试登录时,他们会被提示已有用户登录,或者被重定向到指定的登录页面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值