SpringSecurity + OAuth2限制一个用户登录

已于 2024-10-10 11:31:33 修改
阅读量319 收藏 5
点赞数 4
分类专栏: 后端开发问题随笔记录 文章标签: spring boot spring cloud java
于 2024-09-24 10:17:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/longshehui/article/details/142482348
版权

        系统中的一个小需求,一个用户在我的浏览器登录后,其他人用我的账号在别处登录,将我的浏览器的账号token做一个失效处理,达到只有一个用户登录的目的。

主要是利用redis去存储 用户id 和token的绑定

在登陆的时候根据id去覆盖这个token,就能实现在其他地方登陆后,原来的登陆位置token失效

1. 配置WebSecurityConfiguration


        主要是增加一个sessionManagement
        配置.maximumSessions(1) // 限制同一个用户只能有一个会话
        .maxSessionsPreventsLogin(false) //如果设置为true,当达到最大会话数时,拒绝新的登录

/**
 * 服务安全相关配置
 */
@EnableWebSecurity
public class WebSecurityConfiguration {

    /**
     * spring security 默认的安全策略
     * @param http security注入点
     * @return SecurityFilterChain
     * @throws Exception
     */
    @Bean
    SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeRequests(authorizeRequests -> authorizeRequests.antMatchers("/token/*")
                               .permitAll()// 开放自定义的部分端点
                               .anyRequest()
                               .authenticated())
        .headers()
        .frameOptions()
        .sameOrigin()// 避免iframe同源无法登录
        .and()
        .apply(new FormIdentityLoginConfigurer())// 表单登录个性化
        .and()
        .sessionManagement(sessionManagement -> sessionManagement
                           .maximumSessions(1) // 限制同一个用户只能有一个会话
                           .maxSessionsPreventsLogin(false) // 如果设置为true,当达到最大会话数时,拒绝新的登录
                          );
        // 处理 UsernamePasswordAuthenticationToken
        http.authenticationProvider(new PigDaoAuthenticationProvider());
        return http.build();
    }

    /**
     * 暴露静态资源
     * @param http
     * @return
     * @throws Exception
     */
    @Bean
    @Order(0)
    SecurityFilterChain resources(HttpSecurity http) throws Exception {
        // ...
        // 省略
    }

}

2.在实现了OAuth2AuthorizationService的类中


存储redis和利用redis做判断

@RequiredArgsConstructor
public class PigRedisOAuth2AuthorizationService implements OAuth2AuthorizationService {

    private final RedisTemplate<String, Object> redisTemplate;

    @Override
    public void save(OAuth2Authorization authorization) {
        Assert.notNull(authorization, "authorization cannot be null");

        if (isState(authorization)) {
            // ....
            // 省略
        }

        if (isCode(authorization)) {
            // ....
            // 省略
        }

        if (isRefreshToken(authorization)) {
            // ....
            // 省略
        }

        if (isAccessToken(authorization)) {
            OAuth2AccessToken accessToken = authorization.getAccessToken().getToken();
            String userId = authorization.getPrincipalName(); // 假设用户ID是principalName
            // 1. 获取当前用户的旧token
            String oldTokenKey = (String) redisTemplate.opsForValue().get(USER_TOKEN + userId);

            // 2. 移除旧token的授权信息
            if (oldTokenKey != null && !oldTokenKey.equals(accessToken.getTokenValue())) {
                redisTemplate.delete(buildKey(OAuth2ParameterNames.ACCESS_TOKEN, oldTokenKey));
            }

            // 3. 将新的 token 和用户ID关联存储
            redisTemplate.opsForValue().set(USER_TOKEN + userId, accessToken.getTokenValue());

            long between = ChronoUnit.SECONDS.between(accessToken.getIssuedAt(), accessToken.getExpiresAt());
            redisTemplate.setValueSerializer(RedisSerializer.java());
            redisTemplate.opsForValue().set(buildKey(OAuth2ParameterNames.ACCESS_TOKEN, accessToken.getTokenValue()),
                authorization, between, TimeUnit.SECONDS);
        }
    }

        private static boolean isAccessToken(OAuth2Authorization authorization) {
            return Objects.nonNull(authorization.getAccessToken());
        }
  }

墨家巨子@社会龙
关注
专栏目录
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
spring cloud oauth2 登录一定次数后锁定
qq_37659138的博客
05-10 2749
spring cloud oauth2+账户锁定+限流
oauth2.0 在登录页面,输入一次错误的用户名和密码,即使下次输入正确的用户名和密码,也会跳转到/error页面,而此时其实已经登录成功了。
fulq1234的专栏
05-23 5483
参考网站https://blog.csdn.net/biboheart/article/details/80666700 错误表现:在登录页面,输入一次错误的用户名和密码,即使下次输入正确的用户名和密码,也会跳转到/error页面,而此时其实已经登录成功了。 页面没有任何报错。 首先要在application.properties文件里面配置 logging.level.org.spr...
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2是一个强大的安全框架,它为Web应用程序提供了安全认证和授权的功能。OAuth2则是一种开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商的数据,而无需分享他们的用户名和密码。...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security-oauth2`和`spring-security-jwt`依赖。 2. **用户实体类与数据访问层**:...
spring-Security-oauth2.zip
05-26
Spring Security OAuth2 是一个强大的框架,用于在Spring应用程序中实现安全性和身份验证。OAuth2 是一个授权框架,允许第三方应用获取有限的访问权限到受保护的资源,而无需分享用户名和密码。本压缩包文件“spring...
Spring Boot视频网站:安全与可扩展性设计
2401_85702623的博客
10-16 1013
本次程序开发选用的数据库管理工具是MySQL数据管理工具,使用它存放数据也需要创建程序对应的数据库文件,并命名刚创建的数据库文件,有了数据库也需要创建各种数据表来充实数据库,在数据表的创建中,不仅需要对数据表命名,也需要对数据表的字段进行设计,包括每个数据表里面需要设置的字段名称,字段对应的数据类型信息,字段的主键设置这个也是不可缺少的,因为每个数据表里面的主键就是标记着这个数据表跟其他数据表相区分的唯一标志。addtime timestamp 否 CURRENT_TIMESTAMP 创建时间。
Spring Boot框架的电影评论系统设计与实现
最新发布
2401_85763639的博客
10-19 691
创建动态页面比较方便。同时也大大提高了手的能力,使其难以充分体会探索的乐趣和成功的创作过程,设计过程中汲取的东西,是一笔宝贵的财富。
Spring Boot中使用MyBatis-Plus和MyBatis拦截器来实现对带有特定注解的字段进行AES加密。
gb4215287的博客
10-15 962
Spring Boot中使用MyBatis-Plus和MyBatis拦截器来实现对带有特定注解的字段进行AES加密。
Spring Boot 核心理解-profile
kk6891的博客
10-13 845
springBoot重新梳理和学习。为了面试。 加油。。。。。
中小型医院网站:Spring Boot开发策略
liuxin33445566的博客
10-15 1023
因为MySQL是开源的软件,所以在项目的预算中的时候不用花费额外的资金,大大降低了开发的总体成本,这也是MySQL数据库在中小型企业和独立的开发者中广泛流行的原因。指导老师在我本次基于Spring Boot的中小型医院网站的开发过程中,从程序的设计、代码的完善等方面以及论文的指导提供了很多很多宝贵的意见,并且为我推荐了许多相关JSP技术相关的详细资料,他的指导和建议使我受益匪浅,通过老师的耐心辅导和指点,我的论文顺利的完成,并保证了本论文的质量,我对他的辛勤指导表示崇高的敬意。其中发现了诸多的不足和缺点。
基于Spring Boot的大创项目成本控制系统
2401_85762266的博客
10-16 774
在整个系统测试中,根据需求文档和设计文档,逐一对功能进行检测并写好测试用例,有效避免残片缺陷,因为产品出现缺陷不仅影响功能,而且可以导致数据的不准确,导致产品质量的降低,经过测试,才能使得产品的稳定性和成熟度得到极大的提升,产品质量也才有保证。近来,软件工程界趋向于一种新的观点,即认为软件生命周期每一阶段中都应包含测试,从而检验本阶段的成果是否接近预期的目标,尽可能早的发现错误并加以修正,如果不在早期阶段进行测试,错误的延时扩散常常会导致最后成品测试的巨大困难。任务:消除软件故障,保证程序的可靠运行。
Spring Boot知识管理:提升团队协作效率
liuxin33445566的博客
10-13 989
6、网络上的客户端和服务器可以用来编程任何独立的编程环境,也有中国,GB2312,BIG5,日文写作,一般基金,用于支持多国语言,并且可以嵌入在数据表和其他软件shift_jis访问柱可以用作的名称。2、支持多种操作系统AIX的,FreeBSD下,HP-UX,Linux和Mac OS中,Novell公司的Netware,OpenBSD系统,OS/2裹时,Solaris,Windows等。编程语言,如C, C ++,Python和Java的,的Perl,PHP,埃菲尔铁塔,Ruby和Tcl的。
洗衣店管理革命:Spring Boot订单系统
liuxin33445566的博客
10-10 1481
同时,一个大型的计算机网站系统,必须有一个正确的设计指导思想,通过合理选择数据结构、网络结构、操作系统以及开发环境,构成一个完善的网络体系结构,才能充分发挥计算机信息管理的优势。根据现实生活中网民的实际需求,本系统的设计按照下述原则进行。随着计算机技术的发展以及计算机网络的逐渐普及,互联网成为人们查找信息的重要场所,二十一世纪是信息的时代,所以信息的交换和信息流通显得特别重要。2.高可靠性:一个实用的网站同时必须是可靠的,本设计通过合理而先进的网络设计以及软、硬件的优化选型,可保证网站的可靠性与容错性。
Spring Boot在中小型医院网站中的应用
2402_85762143的博客
10-15 923
中小型医院网站有着无法比拟的优点,网络共享、传播速度快的特点,用户可以随时随地进行预约挂号,取药等,同时医师可及时查看用户挂号预约信息,并可进行开药等,管理员通过计算机后台可对系统相关信息进行管理,大大提高管理的效率,更好的为广大用户服务。用户要想实现预约挂号功能,必须登录系统,在登录界面输入正确的登录账号和密码点击登录按钮进行登录,系统会对用户输入的登录信息进行验证,信息正确则登录成功,反之登录失败,用户登录界面展示如图5-2所示。(5)统一规划、分期实施、逐步完善原则。(3)安全性及保密性原则。
洗衣店订单管理:Spring Boot技术突破
2401_85762266的博客
10-10 1276
5系统详细实现 5.1 管理员模块的实现 5.1.1 顾客信息管理 洗衣店订单管理系统的系统管理员可以管理顾客,可以对顾客信息添加修改删除以及查询操作。具体界面的展示如图5.1所示。 图5.1 顾客信息管理界面 5.1.2 店家信息管理 系统管理员可以查看对店家信息进行添加,修改,删除以及查询操作。具体界面如图5.2所示。 图5.2 店家信息管理界面 5.2 店家模块的实现 5.2.1 店铺信息管理 店家可以对店铺信息进行添加修改删除操作。界面如下图所示: 图5.3 店铺信息信息管理界面 5.2.1 洗衣信
利用Spring Boot构建大创项目资源规划平台
2401_85743969的博客
10-16 587
在整个系统测试中,根据需求文档和设计文档,逐一对功能进行检测并写好测试用例,有效避免残片缺陷,因为产品出现缺陷不仅影响功能,而且可以导致数据的不准确,导致产品质量的降低,经过测试,才能使得产品的稳定性和成熟度得到极大的提升,产品质量也才有保证。不出现字体变形等情况!
Spring Boot:中小型医院网站的技术革新
2401_85339615的博客
10-15 742
Spring Boot一个简化程序设置的拥有开箱即用的框架,它主要的优点是根据程序员不同的设置而生成不同的代码配置文件,这样开发人员就不用每个项目都配置相同的文件,从而减低了开发人员对于传统配置文件的时间,提高了开发效率。性能测试是黑盒测试别称,程序本身的运作通过程序的进程来观察,主要是看一下程序是不是能够像我们预期的目标那样发展,看一看我们的程序最终能不能完整的得到我们最后想要的功能和储存想得到的数据,到最后看一下我们的这个程序完整性能不能达到要求。对测试计划的把握是测试方案的重中之重。
springboot整合springsecurity+oauth2
08-11
引用是一个URL链接,是用来进行OAuth2认证和授权的。OAuth2是一种授权框架,用于保护Web应用程序的资源和API。它允许用户通过第三方应用程序进行认证和授权,而无需共享他们的用户名和密码。 关于Spring Boot整合...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值