同一用户多设备登录限制
在Ruoyi中同一用户多设备登录限制过滤器实现类为KickoutSessionFilter,它继承了AccessControlFilter类
,控制对资源的访问的任何过滤器的超类
在KickoutSessionFilter中的MaxSession属性默人为-1表示不进行限制,可以同类中的set方法进行设置
在KickoutSessionFilter中的kickoutAfter属性用来设置踢出规律,默认为false表示踢出之前登录的用户
在KickoutSessionFilter中的kickoutUrl属性用来表示踢出的用户所访问的地址
在KickoutSessionFilter中的isAccessDenied方法返回false拒绝访问请求,所以调用KickoutSessionFilter中的onAccessDenied方法进行处理。因为在源码中onAccessDenied方法和onAccessDenied方法取或的关系
在KickoutSessionFilter中的onAccessDenied方法中发出请求的Subject对象
如果用户没有登陆或者最大会话数为-1,直接进行之后的流程 返回true
获取当前Subject的session 、用户信息、登陆的账号、session的ID以及根据登录的账号获取登录用户的缓存。
如果登录的账号缓存为空,就进行初始化
如果队列里没有此sessionId,且用户没有被踢出;放入队列,并根据登录的账号作为关键字将队列放入到缓存中去。
如果队列里的sessionId数超出最大会话数,开始踢人(根据踢出的规律),踢出后重新更新缓存的队列
根据被踢出session的id获取sesssion对象,如果该session对象不为空设置会话的kickout属性表示踢出了
如果session对象的kickout不为空并且为true,则退出登录
退出登录过滤器
Ruoyi中的LogoutFilter继承于extends org.apache.shiro.web.filter.authc.LogoutFilter(简单过滤器,在收到请求后,将立即注销当前正在执行的subject,然后将它们重定向到配置的 redirectUrl。 )
通过观察org.apache.shiro.web.filter.authc.LogoutFilter类可以发现在preHandle中实现了subject的退出登录,重定向的路径是通过getRedirectUrl方法进行获取的所以在Ruoyi中的LogoutFilter只看到了对 preHandle方法和getRedirectUrl方法的重新这样就可以实现自己的退出登录。
验证码过滤器
Ruoyi中验证码过滤器通过CaptchaValidateFilter类继承AccessControlFilter类实现的
在CaptchaValidateFilter类中有:
captchaEnabled属性:用来表示是否开启验证码,默认开启
captchaType属性:用来表示验证码的类型,默认math类型
分别重写了AccessControlFilter中的:
onPreHandle方法:用来给request添加验证码开关属性和验证码类型属性
isAccessAllowed方法:用来判断验证码是否正确
onAccessDenied方法:用来返回用来给request添加验证码错误的属性