spring security自定义登录授权过滤器限制同一账号同时在线数量

最新推荐文章于 2024-10-02 10:10:26 发布
最新推荐文章于 2024-10-02 10:10:26 发布
阅读量2.3k 收藏 4
点赞数
分类专栏: 解决方案 文章标签: java spring security 问题解决
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l_d_w/article/details/127514785
版权

摘要:本文主要目的是解决spring security在使用自定义登录授权过滤器时,在protected void configure(final HttpSecurity http)方法中设置maximumSessions属性不生效的问题。本文只是进行了粗略的思路,包含主要的代码片段,并非完整的业务代码,仅供参考。

 

目录

起因

调查

解决

后记

起因

        业务需要设置账号只能存在唯一一个有效的登录,因为使用的spring security,所以第一时间考虑使用security内置的sessionManagement().maximumSessions(1)来设置,但是设置完相关参数之后发现不生效。

调查

        通过对业务代码的以及security的源代码的跟踪,结合网上查询的资料,最终发现导致不生效的原因:

  1. 代码实现的登录授权过滤器直接继承自AbstractAuthenticationProcessingFilter过滤器,并且在过滤器只进行了setAuthenticationManager操作,而AbstractAuthenticationProcessingFilter的默认的SessionAuthenticationStrategy处理类是NullAuthenticatedSessionStrategy,此处既是导致数量设置不生效的根本原因;
  2. 使用redis做的共享session,session的创建及销毁等操作不通过security;
  3. ConcurrentSessionControlAuthenticationStrategy类时负责session数量验证的接口,登录请求处理链在执行的时候未执行该类及类中的相关方法;

       想要解决这个问题,只需要让ConcurrentSessionControlAuthenticationStrategy在登录授权的处理链中被调用即可。通过查找资料,发现ConcurrentSessionControlAuthenticationStrategy只是处理session数量验证的一个单以的处理,在链条中还需要进行其他的业务处理,所以最终实现的目标是引入CompositeSessionAuthenticationStrategy

 解决

        在WebSecurityConfigurerAdapter的实现类中对上述所需要的类进行初始化,关键代码如下:

    @Autowired
    private AuthenticationManager authenticationManager;
    // 此处为自定义的授权处理类
    @Autowired
    private MyAuthenticationService authenticationService;
    // 此处为超出数量时的处理类
    @Autowired
    private SessionExpiredStrategy sessionInformationExpiredStrategy;

    @Autowired(required = false)
    private SessionRegistry sessionRegistry;

    @Bean
    public MySessionAuthenticationFilter accountAuthenticationFilter() {
    	List<SessionAuthenticationStrategy> authenticationStrategies = new ArrayList<SessionAuthenticationStrategy>();
    	authenticationStrategies.add(controlAuthenticationStrategy(sessionRegistry));
    	authenticationStrategies.add(sessionFixationProtectionStrategy());
    	authenticationStrategies.add(registerSessionAuthenticationStrategy(sessionRegistry));
    	CompositeSessionAuthenticationStrategy strategy = sessionAuthenticationStrategy(authenticationStrategies);
        // 自定义的授权过滤器,继承自AbstractAuthenticationProcessingFilter
        final MySessionAuthenticationFilter filter = new MySessionAuthenticationFilter(authenticationService);
        filter.setAuthenticationManager(authenticationManager);
        filter.setSessionAuthenticationStrategy(strategy);
        return filter;
    }

    @Bean
    public ConcurrentSessionFilter concurrentSessionFilter(SessionRegistry sessionRegistry){
        // 需要在此处初类构造时加入数量超过时的处理类
        return new ConcurrentSessionFilter(sessionRegistry, sessionInformationExpiredStrategy);
    }
    
    @Bean
    public ConcurrentSessionControlAuthenticationStrategy controlAuthenticationStrategy(SessionRegistry sessionRegistry){
        ConcurrentSessionControlAuthenticationStrategy strategy = new ConcurrentSessionControlAuthenticationStrategy(sessionRegistry);
        // 需要在此处设置允许同时在线的最大数量
        strategy.setMaximumSessions(1);
        return strategy;
    }
    
    @Bean
    public SessionFixationProtectionStrategy sessionFixationProtectionStrategy(){
        return new SessionFixationProtectionStrategy();
    }


    @Bean
    public RegisterSessionAuthenticationStrategy registerSessionAuthenticationStrategy(SessionRegistry sessionRegistry){
        return new RegisterSessionAuthenticationStrategy(sessionRegistry);
    }

    @Bean
    public CompositeSessionAuthenticationStrategy sessionAuthenticationStrategy(List<SessionAuthenticationStrategy> authenticationStrategies){
        return new CompositeSessionAuthenticationStrategy(authenticationStrategies);
    }

    @Bean
    public HttpSessionEventPublisher httpSessionEventPublisher() {
        return new HttpSessionEventPublisher();
    }
import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletResponse;

import org.apache.http.HttpStatus;
import org.springframework.security.web.session.SessionInformationExpiredEvent;
import org.springframework.security.web.session.SessionInformationExpiredStrategy;
import org.springframework.stereotype.Component;

@Component
public class SessionExpiredStrategy implements SessionInformationExpiredStrategy {

	@Override
	public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException, ServletException {
		HttpServletResponse response = event.getResponse();
        response.setStatus(HttpStatus.SC_UNAUTHORIZED);
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write("您的账号已经在别的地方登录!");
	}

}

 最后在HttpSecurity配置时通过addFilter方法加入MySessionAuthenticationFilter即可。

后记

        致歉:由于解决这个问题的时间较长,参考的文章数量较多,解决后已经记不得具体参考引用了哪些文章,如果文章作者在本文中看到相似代码,请联系我,核实后,会在文章末尾添加文章的引用。

劉微明
关注
专栏目录
【第七篇】SpringSecurity核心组件和核心过滤器
筱白爱学习!的博客
06-14 1178
SpringSecurity中的核心组件、核心过滤器SecurityContextPersistenceFilter和CsrfFilter过滤器详解
Spring Security 3多用户登录实现一
04-13
NULL 博文链接:https://dreamzhong.iteye.com/blog/1722261
springboot+shiro控制同一用户在线的并发数,同一个用户最大的会话数,默认1;比如2的意思是同一个用户允许最多同时两个人登录
柒嘴八舌的博客
07-29 517
springboot+shiro控制同一用户在线的并发数,同一个用户最大的会话数,默认1;比如2的意思是同一个用户允许最多同时两个人登录。具体实现类粘贴到了下方,有需要的直接复制使用即可。ShiroLoginFilter 类,登录拦截器。ShiroConfig 配置类。UserRealm 类。
【第三章】Spring Security自动配置之登录用户
最新发布
单纯的小孩的博客
10-02 827
spring security配置登录用户
利用spring security控制同一个用户只能一次登陆
04-21
NULL 博文链接:https://lihao312.iteye.com/blog/1909205
Spring Security3边学边写(N)会话管理和并行控制
sb33060418的专栏
10-09 415
在开发系统认证授权时,经常会碰到需要控制单个用户重复登录次数或者手动踢掉登录用户的需求。如果使用Spring Security 3.1.x该如何实现呢? Spring Security中可以使用session management进行会话管理,设置concurrency control控制单个用户并行会话数量,并且可以通过代码将用户的某个会话置为失效状态以达到踢用户下线的效果。 本次实...
Spring Security
weixin_30498807的博客
10-18 203
【转自】http://www.mossle.com/oa/springsecurity/html/index.html 第12章管理会话 多个用户不能使用同一账号同时登陆系统。 12.1.添加监听器 在web.xml中添加一个监听器,这个监听器会在session创建和销毁的时候通知Spring Security。 <listener> ...
spring security】前后端分离,限制用户登录(一个账号同一时间只能在一段登录
Meditation_Crazy
10-27 2415
前言 实现这块功能的时候,通过搜索,简单配置了下: 但是没生效。然后就是看代码,百度,还是没成功。 最后偶尔查到了这个: 既然找到了源码,那就断点,跑一下试试,结果,登录过程中,并没有进这个类org.springframework.security.web.authentication.session.ConcurrentSessionControlAuthenticationStrategy。 然后根据类名,查找相关配置,就找到了其他的一些配置。 http://www.jetchen.cn/spring
SpringSecurity3.1.2控制一个账户同时只能登录一次
aokunsang的博客
09-18 531
网上看了很多资料,发现多多少少都有一些不足(至少我在使用的时候没成功),后来经过探索研究,得到解决方案。   具体SpringSecurity3怎么配置参考SpringSecurity3.1实践,这里只讲如何配置可以控制一个账户同时只能登录一次的配置实现。   网上很多配置是这样的,在&lt;http&gt;标签中加入concurrency-control配置,设置max-sessio...
filter过滤器实现权限访问控制以及同一账号只能登录一台设备
01-18
在Web开发中,权限访问控制和用户...总的来说,通过`Filter`实现权限访问控制和同一账号登录限制,既增强了系统的安全性,又优化了用户体验。开发者可以根据具体需求灵活设计过滤逻辑,以满足不同业务场景的安全要求。
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3658
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Spring Security 3多用户登录实现之十一 退出
04-13
Spring Security 是一个强大的安全框架,用于为Java应用提供安全控制,包括认证、授权以及会话管理等。在Spring Security 3中,实现多用户登录功能是构建安全Web应用的重要环节。退出功能则允许用户安全地结束他们的...
Springboot + Spring Security 实现前后端分离登录认证及权限控制
m0_68850571的博客
04-10 1万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制 前言     关于Spring Security的概念部分本文不进行赘述,本文主要针对于对Spring Security以及Springboot有一定了解的小伙伴,帮助大家使用Springboot + Spring Security 实现一个前后端分离登录认证的过程。     文章会一步一步循序渐进的带大家敲一遍代码。最终的代码请看最后。     代码中我用到了插件lombok来生成实体的getter/set
九、Spring Security 防止用户在多处同时登录(一个用户同时只能登录一次)及源码分析
panchang199266的博客
07-12 9161
参见Spring Boot + Spring Security 防止用户在多处同时登录(一个用户同时只能登录一次)及源码分析
spring security3.0控制多个用户账号同时登录和管理员踢出用户(原创)
sinlff的专栏
09-18 1万+
声明一下,这篇文章不是基于acegi  spring security2.0写的,  我发现很多文章都是基于老版本写的,  并不适用最新版。 下面跟大家分享一下在spring security3.0里如何正宗的做法达到控制多个账号请求的经验。   步骤1 下面只贴出关键部分, 为了不影响阅读。   注意: 不需要配置
spring-security 是怎么实现同一个用户登录次数限制的(包含源码分析)
java_fisher的博客
06-27 1868
package com.example.demo.sms; import com.example.demo.core.AbstractSecurityConfigurerAdapter; import com.example.demo.core.MySimpleRedirectSessionInformationExpiredStrategy; import org.springframework.beans.factory.annotation.Autowired; import org.spring.
SpringSecurity - 学习笔记 - 会话管理之并发控制:同一账号只允许在一个设备登录
灵台方寸山斜月三星洞
01-18 1934
SpringSecurity - 学习笔记 - 会话管理之并发控制:同一账号只允许在一个设备登录场景需求分析配置`web.xml``application-security.xml`参考消息 场景 接手一个老项目: 先上pom.xml ...略 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifactId>
Spring Boot + Spring Security 防止用户在多处同时登录(一个用户同时只能登录一次)及源码分析
热门推荐
杰明Jamin的博客
01-02 4万+
Spring Boot + Spring Security 防止用户在多处同时登录(一个用户同时只能登录一次)及源码分析,网上很多文章的实现方法写得比较复杂 ,这里介绍一个简单的方法。
SpringBoot 并发登录人数控制
JAVA葵花宝典
11-03 403
转自:简书,作者:殷天文www.jianshu.com/p/b6f5ec98d790通常系统都会限制同一账号登录人数,多人登录要么限制后者登录,要么踢出前者,Spri...
SpringSecurity自定义过滤器实现认证逻辑
"本文主要探讨了在SpringSecurity框架中如何实现自定义过滤器,通过具体的代码示例,帮助读者理解自定义过滤器解决复杂认证场景中的应用。内容包括创建自定义过滤器类以及将其集成到SpringSecurity过滤器链中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值