Shiro - 限制并发人数登录与剔除

最新推荐文章于 2022-07-29 09:00:43 发布
最新推荐文章于 2022-07-29 09:00:43 发布
阅读量1.4k 收藏 1
点赞数
文章标签: shiro

原文地址:https://www.cnblogs.com/leechenxiang/p/6171151.html

import org.apache.shiro.cache.Cache;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.DefaultSessionKey;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.AccessControlFilter;
import org.apache.shiro.web.util.WebUtils;

import com.agood.pojo.ActiveUser;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import java.io.Serializable;
import java.util.Deque;
import java.util.LinkedList;

/**
 * 
 * @Title: KickoutSessionControlFilter.java
 * @Package com.agood.bejavagod.controller.filter
 * @Description: 同一用户后登陆踢出前面的用户
 * Copyright: Copyright (c) 2016
 * Company:Nathan.Lee.Salvatore
 * 
 * @author leechenxiang
 * @date 2016年12月12日 下午7:25:40
 * @version V1.0
 */
public class KickoutSessionControlFilter extends AccessControlFilter {

    private String kickoutUrl; //踢出后到的地址
    private boolean kickoutAfter = false; //踢出之前登录的/之后登录的用户 默认踢出之前登录的用户
    private int maxSession = 1; //同一个帐号最大会话数 默认1

    private SessionManager sessionManager;
    private Cache<String, Deque<Serializable>> cache;

    public void setKickoutUrl(String kickoutUrl) {
        this.kickoutUrl = kickoutUrl;
    }

    public void setKickoutAfter(boolean kickoutAfter) {
        this.kickoutAfter = kickoutAfter;
    }

    public void setMaxSession(int maxSession) {
        this.maxSession = maxSession;
    }

    public void setSessionManager(SessionManager sessionManager) {
        this.sessionManager = sessionManager;
    }

    public void setCacheManager(CacheManager cacheManager) {
        this.cache = cacheManager.getCache("shiro-kickout-session");
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        Subject subject = getSubject(request, response);
        if(!subject.isAuthenticated() && !subject.isRemembered()) {
            //如果没有登录,直接进行之后的流程
            return true;
        }

        Session session = subject.getSession();
        ActiveUser user = (ActiveUser)subject.getPrincipal();
        String username = user.getUserName();
        Serializable sessionId = session.getId();

        // 同步控制
        Deque<Serializable> deque = cache.get(username);
        if(deque == null) {
            deque = new LinkedList<Serializable>();
            cache.put(username, deque);
        }

        //如果队列里没有此sessionId,且用户没有被踢出;放入队列
        if(!deque.contains(sessionId) && session.getAttribute("kickout") == null) {
            deque.push(sessionId);
        }

        //如果队列里的sessionId数超出最大会话数,开始踢人
        while(deque.size() > maxSession) {
            Serializable kickoutSessionId = null;
            if(kickoutAfter) { //如果踢出后者
                kickoutSessionId = deque.removeFirst();
            } else { //否则踢出前者
                kickoutSessionId = deque.removeLast();
            }
            try {
                Session kickoutSession = sessionManager.getSession(new DefaultSessionKey(kickoutSessionId));
                if(kickoutSession != null) {
                    //设置会话的kickout属性表示踢出了
                    kickoutSession.setAttribute("kickout", true);
                }
            } catch (Exception e) {//ignore exception
            }
        }

        //如果被踢出了,直接退出,重定向到踢出后的地址
        if (session.getAttribute("kickout") != null) {
            //会话被踢出了
            try {
                subject.logout();
            } catch (Exception e) { //ignore
            }
            saveRequest(request);
            
            HttpServletRequest httpRequest = WebUtils.toHttp(request);
            if (ShiroFilterUtils.isAjax(httpRequest)) {
                HttpServletResponse httpServletResponse = WebUtils.toHttp(response);  
                httpServletResponse.sendError(ShiroFilterUtils.HTTP_STATUS_SESSION_EXPIRE);
                return false;
            } else {
                WebUtils.issueRedirect(request, response, kickoutUrl);
                return false;
            }
        }

        return true;
    }
}

首先得要有个过滤器命名为:KickoutSessionControlFilter

然后在shiro.xml中需要这么定义:


<property name="filters">
            <map>
                <entry key="kickout" value-ref="kickoutSessionControlFilter"/>
            </map>
        </property>

<bean id="kickoutSessionControlFilter" class="com.agood.bejavagod.controller.filter.KickoutSessionControlFilter">  
        <property name="cacheManager" ref="shiroEhcacheManager"/>  
        <property name="sessionManager" ref="sessionManager"/> 
        <!-- 是否踢出后来登录的,默认是false;即后者登录的用户踢出前者登录的用户 --> 
        <property name="kickoutAfter" value="false"/>  
        <!-- 同一个用户最大的会话数,默认1;比如2的意思是同一个用户允许最多同时两个人登录 -->
        <property name="maxSession" value="1"/>  
        <property name="kickoutUrl" value="/login.action"/>  
    </bean>
最后修改过滤器配置,拦截所有请求 

/** = kickout,authc



liuyongchao7
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
shiro-redis-tutorial:shiro-redis教程
05-13
shiro-redis-tutorial 这是一个教程,可帮助您了解如何使用shiro-redis 。 本教程使用shiro.ini配置shiroshiro-redis 。 如何使用它? 使用以下注释将shiro-redis-tutorial克隆到磁盘: git clone https://github.com/alexxiyang/shiro-redis-tutorial.git 在src / main / resources / shiro.ini中修改redis服务连接配置。 例如redisManager.host , redisManager.expire等。 # Redis host. If you don't specify host the default value is 127.0.0.1:6379 redisManager.host = 192.168.56
Shiro 控制并发登录人数限制登录踢出的实现代码
08-29
本文通过shiro实现一个账号只能同时一个人使用,本文重点给大家分享Shiro 控制并发登录人数限制登录踢出的实现代码,需要的朋友参考下吧
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
shiro并发人数登录控制的实现代码
08-29
在做项目中遇到这样的需求要求每个账户同时只能有一个人登录或几个人同时登录,如果是同时登录的多人,要么不让后者登录,要么踢出前者登录,怎么实现这样的功能呢?下面小编给大家带来了shiro并发人数登录控制的实现代码,一起看看吧
SpringBoot 并发登录人数控制,附踢人功能
wuxiaopengnihao1的博客
07-29 655
通常系统都会限制同一个账号的登录人数,多人登录要么限制后者登录,要么踢出前者,SpringSecurity提供了这样的功能,本文讲解一下在没有使用Security的时候如何手动实现这个功能JWT(token)存储在Redis中,类似JSessionId-Session的关系,用户登录后每次请求在Header中携带jwt如果你是使用session的话,也完全可以借鉴本文的思路,只是代码上需要加些改动。...
若依框架实现一个用户最大会话数
qq_45767167的博客
09-07 1381
1.首先在配置文件中配置指定的参数(application.yml) 如上图所示,在session中配置maxSession 。 2.然后在com\ruoyi\framework\config\ShiroConfig.java (1)获取配置文件中maxSession 和kickoutAfter的值。 // 同一个用户最大会话数 @Value("${shiro.session.maxSession}") private int maxSession; // 踢出之前登录的/之后登
【全栈编程系列】SpringBoot整合Shiro(含KickoutSessionControlFilter并发在线人数控制以及不生效问题、配置启动异常No SecurityManager...)
Yangy的博客
09-01 1763
热门系列: 程序人生,精彩抢先看 目录 1、前言 2、正文 2.1 环境介绍 2.2 shiro配置 2.3 shiro并发在线人数控制KickoutSessionControlFilter 2.3.1 自定义shiroKickoutSessionControlFilter请求时报错异常 2.3.2KickoutSessionControlFilter并发在线人数控制失效 3、总结 1、前言 好久没整活儿了。最近在整合shiro的时候,出现了诸多问题。还...
springboot登录功能_SpringBoot 并发登录人数控制,附踢人功能
weixin_33452735的博客
01-09 429
点击上方“Java研发军团”,选择“置顶公众号”关键时刻,第一时间送达!阅读本文需要5分钟通常系统都会限制同一个账号的登录人数,多人登录要么限制后者登录,要么踢出前者,Spring Security 提供了这样的功能,本文讲解一下在没有使用Security的时候如何手动实现这个功能demo 技术选型SpringBootJWTFilterRedis + RedissonJWT(token)...
2017.4.12 开涛shiro教程-第十八章-并发登录人数控制
weixin_30699443的博客
04-12 116
原博客地址:http://jinnianshilongnian.iteye.com/blog/2018398 根据下载的pdf学习。 开涛shiro教程-第十八章-并发登录人数控制 shiro中没有提供默认实现,不过可以很容易实现。通过shiro filter机制拓展KickoutSessionControllerFilter。 kickoutSessionControll...
ShiroShiro - 限制并发人数登录剔除
qwertyuiopasdfghjklzxcvbnm
05-03 920
实现思路 session+user+cache 将用户存进全局变量session中,用于获取,然后将用户存进缓存中,用用户的唯一标识绑定队列,队列中存用户的session,判断队列的长度来识别当前用户的数量,使用队列的先入先出特性来踢出用户 filter代码 import org.apache.shiro.cache.Cache; import org.apache.s
shiro自定义过滤器(最大在线人数
fangchao3652
08-16 385
package com.hope.shiro.filter; import com.hope.model.beans.SysUser; import org.apache.shiro.cache.Cache; import org.apache.shiro.cache.CacheManager; import org.apache.shiro.session.Session; import org...
SpringBoot+Shiro学习之自定义拦截器管理在线用户(踢出用户)
qq_20954959的博客
03-05 1万+
应用场景 我们经常会有用到,当A 用户在北京登录 ,然后A用户在天津再登录 ,要踢出北京登录的状态。如果用户在北京重新登录,那么又要踢出天津的用户,这样反复。又或是需要限制同一用户的同时在线数量,超出限制后,踢出最先登录的或是踢出最后登录的。 第一个场景踢出用户是由用户触发的,有时候需要手动将某个在线用户踢出,也就是对当前在线用户的列表进行管理。 ··························
并发登录人数控制--Shiro系列(二)
李秀才的博客
06-23 1万+
为了安全起见,同一个账号理应同时只能在一台设备上登录,后面登录的踢出前面登录的。用Shiro可以轻松实现此功能。 shiro中sessionManager是专门作会话管理的,而sessinManager将会话保存在sessionDAO中,如果不给sessionManager注入 sessionDAO,会话将是瞬时状态,没有被保存起来,从sessionManager里取session,是取不到的。 此例中sessionDAO注入了Ehcache缓存,会话被保存在Ehcache中,不知Ehcache为何物的,请
springboot整合shiro-在线人数以及并发登录人数控制(七)
热门推荐
这个名字想了很久
09-02 2万+
原文地址,转载请注明出处:&amp;amp;nbsp;https://blog.csdn.net/qq_34021712/article/details/80457041&amp;amp;nbsp;&amp;amp;nbsp; &amp;amp;nbsp;&amp;amp;nbsp;©王赛超&amp;amp;nbsp; 项目中有时候会遇到统计当前在线人数的需求,也有这种情况当A 用户在邯郸地区登录 ,然后A用户在北京地区再登录 ,要踢出邯郸登录的状态。如果用
第十八章 并发登录人数控制——《跟我学Shiro
Ethan_Fu的专栏
06-01 1061
目录贴: 跟我学Shiro目录贴   在某些项目中可能会遇到如每个账户同时只能有一个人登录或几个人同时登录,如果同时有多人登录:要么不让后者登录;要么踢出前者登录(强制退出)。比如spring security就直接提供了相应的功能;Shiro的话没有提供默认实现,不过可以很容易的在Shiro中加入这个功能。   示例代码基于《第十六章 综合实例》完成,通过Shiro Filter机制扩展
Shiro 控制并发登录人数限制实现,登录踢出实现
AinUser的博客
03-14 1万+
Shiro + SSM(框架) + Freemarker(jsp)讲解的权限控制Demo,还不赶快去下载? 我们经常会有用到,当A 用户在北京登录 ,然后A用户在天津再登录 ,要踢出北京登录的状态。如果用户在北京重新登录,那么又要踢出天津的用户,这样反复。 这样保证了一个帐号只能同时一个人使用。那么下面来讲解一下 Shiro  怎么实现这个功能,现在是用到了缓存 Redis  。我们也
shiro-550和shiro-721漏洞的异同点
最新发布
06-06
Shiro-550和Shiro-721漏洞都是Apache Shiro框架的安全漏洞,但它们的漏洞类型和漏洞影响不同。 Shiro-550漏洞是Apache Shiro框架中的一种远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据包,触发远程代码执行漏洞,从而实现对目标系统的完全控制。该漏洞可被用于在目标服务器上执行任意命令,获取敏感信息等。 Shiro-721漏洞是Apache Shiro框架中的一种权限绕过漏洞,攻击者可以通过构造特定的请求,来绕过Shiro框架的权限控制,从而访问未经授权的资源或执行未经授权的操作。该漏洞可被用于获取未经授权的访问权限,访问敏感信息等。 因此,Shiro-550和Shiro-721漏洞的主要区别在于漏洞类型和漏洞影响。建议开发者及时升级Shiro框架版本或者关闭相关功能以避免此类漏洞的风险。同时,建议对请求参数进行严格的过滤和验证,避免恶意请求的输入。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值