Spring Security控制只能有一个用户在线

最新推荐文章于 2024-05-15 14:11:50 发布
最新推荐文章于 2024-05-15 14:11:50 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: SpringSecurity 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freelyeagle/article/details/103903201
版权

在最近的一个项目中需要用到同时只能允许一个用户在线,该系统是一个线上考试系统,要求同一个考生在不同的浏览器上同时只能有一个在线。框架用的Spring Security,Spring Security本身时有关于Session控制的,只需要在配置文件中进行配置就可以实现。

第一步需要在web.xml里配置HttpSessionEventPublisher,如下所示,只要在web.xml文件里加上这段配置就可以

<listener>
        <listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class>
 </listener>

第二部需要配置Spring Security的配置文件,我这里的文件名字是security.xml,这个名字可能会不一样,这要看各自的具体命名。

如果只是简单的应用Spring Security,只需要在配置文件中加上下面这段配置就可以了

<security:session-management
            invalid-session-url="/user-login-page"
            session-authentication-error-url="/user-login-page">
            <security:concurrency-control
                max-sessions="1" expired-url="/home" error-if-maximum-exceeded="false" />
        </security:session-management>

其中invalid-session-url是配置会话失效转向地址;max-sessions是设置单个用户最大并行会话数;error-if-maximum-exceeded是配置当用户登录数达到最大时是否报错,设置为true时会报错且后登录的会话不能登录,默认为false不报错且将前一会话置为失效。
配置完后使用不同浏览器登录系统,就可以看到同一用户后来的会话不能登录或将已登录会话踢掉。

 

但是如果spring security的一段<http/>中使用了自定义过滤器<custom-filter/>(特别是FORM_LOGIN_FILTER),或者配置了AuthenticationEntryPoint,或者使用了自定义的UserDetails、AccessDecisionManager、AbstractSecurityInterceptor、FilterInvocationSecurityMetadataSource、UsernamePasswordAuthenticationFilter等,上面的简单配置可能就不会生效了,就需要自行配置ConcurrentSessionFilter、ConcurrentSessionControlStrategy和SessionRegistry,虽然配置内容和缺省一致。配置如下:

<bean id="concurrencyFilter"  
        class="org.springframework.security.web.session.ConcurrentSessionFilter">  
        <property name="sessionRegistry" ref="sessionRegistry" />  
        <property name="expiredUrl" value="/user-login-page?result=failed" />  
    </bean>
    <bean id="sessionAuthenticationStrategy"  
        class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy">  
        <constructor-arg name="sessionRegistry"  
            ref="sessionRegistry" />  
        <property name="maximumSessions" value="1" />  
    </bean>
    <bean id="sessionRegistry"  
        class="org.springframework.security.core.session.SessionRegistryImpl">
    </bean>

此外还需要在<security:http中加上下面的配置

<security:custom-filter after="CONCURRENT_SESSION_FILTER" ref="concurrencyFilter" />

这个地方之所以用after="CONCURRENT_SESSION_FILTER",是因为我的配置文件里已经有了一个custom-filter,为了区分先后顺序,所以把原来的custom-filter改为<security:custom-filter before="FORM_LOGIN_FILTER" ref="securityFilter" />。

基本上经过上述步骤以后启动项目,分别打开浏览器然后进行的登录就可以看到效果了。

网上有的文章还说如果自己有自定义的UserDetail的话还需要在自己的类里面加上

@Override  
public boolean equals(Object rhs) {  
    if (rhs instanceof User) {  
        return username.equals(((User) rhs).username);  
    }  
    return false;  
}  
  
/** 
 * Returns the hashcode of the {@code username}. 
 */  
@Override  
public int hashCode() {  
    return username.hashCode();  
}  

这两个方法,虽然我这里也自定义了UserDetail类,但是并没有添加这两个方法,也可以正常实现效果。

王飞雁
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot】集成SpringSecurity+JWT实现多服务单点登录,原来这么easy
墩墩分墩
09-25 2361
- **单点登录(SingleSignOn,SSO)**,当用户在身份`认证服务器`上登录一次以后,即可**获得访问单点登录系统中其他关联系统和应用软件的权限**,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,`用户只需一次登录就可以访问所有相互信任的应用系统`。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的一种**分布式登录方式**。
SpringBoot 多点互斥登录(web应用安全) 保姆级教程
来杯咖啡的博客
11-25 3476
1.什么是互斥登录在实际生活中,很多网站都做了多点登录互斥的操作,简单来说就是同一个账号,只能在一台电脑上登录,如果有人在其他地方登录,那么原来登录的地方就会自动下线,再进行操作就会弹出登录界面。2.实现思路添加拦截器,设置UUID让作为唯一标识,存入redis中当value,当前登陆者的账户为key,当前登陆者的token与我们redis中的token值相同则通过,否则返回false,表示设备已在其他地方登录。3.代码实现3.1 创建boot项目选择依赖。
springboot集成JWT+Redis实现单点登录和同一账号只允许在一处登录
qq_31700775的博客
07-11 1624
单点登录的英文名叫做:Single Sign On(简称SSO)。在最开始的单体架构(或者说单系统)当中,所有的代码都放在一个项目当中,传统的登录流程是用户登录—>登录校验(校验用户名密码)—>将用户名等信息放入session当中—>成功登录。这样就可以从session当中获取用户信息来判断是否登录或者登录人是谁后来,我们为了合理利用资源和降低耦合性,于是把单系统拆分成多个子系统。
spring security自定义登录授权过滤器限制同一账号同时在线数量
L_D_W的博客
10-25 2264
摘要:本文主要目的是解决spring security在使用自定义登录授权过滤器时,在protected void configure(final HttpSecurity http)方法中设置maximumSessions属性不生效的问题。本文只是进行了粗略的思路,包含主要的代码片段,并非完整的业务代码,仅供参考。
SpringSecurity访问多人在线Session管理的实现原理
最新发布
JavaMyDream的博客
05-15 155
【代码】SpringSecurity访问多人在线Session管理的实现原理。
Spring Security】单点登录
weixin_51900229的博客
06-12 411
SpringSecurity框架用于实现登录,内置加密,验证,放行等功能,可靠性强同时,还可以将当前用户的信息保存,对于用户的权限,有特殊的管理在控制器运行前,可以使用注解判断当前用户是否具备某个权限@PreAuthorize(“[权限名称]”)SpringSecurity在运行该方法之前进行核查,如果不具备这个权限就会返回403状态码。
SpringSecurity - 学习笔记 - 会话管理之并发控制:同一账号只允许在一个设备登录
灵台方寸山斜月三星洞
01-18 1873
SpringSecurity - 学习笔记 - 会话管理之并发控制:同一账号只允许在一个设备登录场景需求分析配置`web.xml``application-security.xml`参考消息 场景 接手一个老项目: 先上pom.xml ...略 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifactId>
利用spring security控制一个用户只能一次登陆
04-21
标题中的“利用Spring Security控制一个用户只能一次登录”是指在基于Spring Security的Web应用程序中实现单点登录(Single Sign-On, SSO)的功能,确保同一时间只有一个设备或浏览器会话可以登录同一用户的账户。...
Spring Security如何使用URL地址进行权限控制
08-25
其中,权限控制Spring Security一个重要组件,它允许开发者根据用户角色和权限来控制访问不同的资源。在本文中,我们将探讨如何使用Spring Security来实现URL地址的权限控制。 权限控制是指根据用户的角色和...
Spring Security实现禁止用户重复登陆的配置原理
08-25
在这里,我们将 maximumSessions 设置为 1,这意味着同一个用户同时只能一个会话在线。 2. SessionFixationProtectionStrategy:该策略用于防止会话固定攻击。 3. RegisterSessionAuthenticationStrategy:该策略...
SpringSecurity3.1.2控制一个账户同时只能登录一次
06-01
综上所述,通过自定义`SessionRegistry`、`ConcurrentSessionControlStrategy`,以及正确配置Spring Security XML,我们可以实现在Spring Security 3.1.2中一个账户只能登录一次的功能。这个过程涉及到对Spring ...
JavaWeb实现同一帐号同一时间只能一个地点登陆(类似QQ登录的功能)
09-01
最近做了企业项目,其中有这样的需求要求同一帐号同一时间只能一个地点登陆类似QQ登录的功能。下面小编通过本文给大家分享实现思路,感兴趣的朋友参考下吧
Spring security认证两类用户代码实例
08-19
Spring Security一个强大的安全框架,用于为Java应用提供身份验证和授权服务。在这个代码实例中,我们将探讨如何使用Spring Security来认证两类不同的用户:一类是使用内存认证的管理员,另一类是通过数据库认证...
SpringBoot整合SpringSecurity权限控制(动态拦截url+单点登录)
jiaoqi6132的博客
04-04 2374
Slf4j@Component@Resource@Override//获取身份验证详细信息//用于校验mac地址白名单(这里只是打个比方,登录验证中增加的额外字段)//表单输入的用户名//表单输入的密码//校验用户名密码if (!matches) {!");@Override@Component@Resource@Override//任意登录用户名!");//从数据库获取密码//用户拥有的角色// }
SpringCloud微服务实战——搭建企业级开发框架(四十):使用Spring Security OAuth2实现单点登录(SSO)系统
全栈程序猿的专栏
05-11 4511
一、单点登录SSO介绍   目前每家企业或者平台都存在不止一套系统,由于历史原因每套系统采购于不同厂商,所以系统间都是相互独立的,都有自己的用户鉴权认证体系,当用户进行登录系统时,不得不记住每套系统的用户名密码,同时,管理员也需要为同一个用户设置多套系统登录账号,这对系统的使用者来说显然是不方便的。我们期望的是如果存在多个系统,只需要登录一次就可以访问多个系统,只需要在其中一个系统执行注销登录操作,则所有的系统都注销登录,无需重复操作,这就是单点登录(Single Sign On 简称SSO)系统实现的功能
SpringBoot集成SpringSecurity(九、设置用户最大登录数)
伍妖捌的小屋
05-16 923
前言 在项目中,可能会有这样的需求,只允许用户同一时间只能在一处登录。 实现 设置Session过期策略,创建SessionExpiredStrategy 类 @Component public class SessionExpiredStrategy implements SessionInformationExpiredStrategy { @Autowired private SignInFailureHandler signInFailureHandler; @Overri
spring security 单点登录 简单实现
热门推荐
zenggenihao的专栏
03-01 13万+
1、基本概念 SSO (Single Sign On) SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。 spring security Spring Security一个安...
关于spring security4.0以上版本自定义配置的问题及解决笔录
晚秋的风
08-08 5029
由于项目框架古老spring3.0 spring security2.0.4,但功能齐全,所以个人想要升级各个jar包版本,以减少不必要的已知bug 目标更换为spring security4.2 spring data换为最新 问题1:spring版本不匹配,jar包冲突 这个是最好解决的,先把spring security做最基础配置,换几个理论上兼容的spring版本试试就行,最终选定...
spring security使用自定义的的AuthenticationFilter时,要限制session个数,禁止多端同时登录
小伍的程序之路
04-14 1282
在WebSecurityConfigurerAdapter#configure(HttpSecurity)方法中配置session管理没有效果,因为我们使用了自己的AuthenticationFilter,只能手动给LoginFilter配置SessionAuthenticationStrategy。 @Configuration public class CustomFilterSecurityConfig extends WebSecurityConfigurerAdapter { //ses
Spring Security入门:从Acegi到Spring Security的转变
通过这些功能,Spring Security为企业应用构建了一个全方位的安全防护网,不仅适用于Web应用,也可以应用于服务层和领域层的访问控制。它的灵活性和可扩展性使其成为了现代Java应用中广泛采用的安全框架。 在实际...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值