最近碰到这样一个需求——内部网站,每个帐号只允许登录一次,该帐号的再次登录会将前一个登录用户踹下来。
1. 思路
- 基本原理是使用cookie记录和传递必要的登录用户信息(例如唯一性标识),后台存储Session时以用户的标志性信息作为key.
- 登录时通过查询数据库获取用户唯一性标识(一般是userCode),作为修改Redis中存储时的key值. 返回客户端时,该唯一性标识和登录时间作为cookie返回回去,以便下次带回。
- 登出时删除这个session, 因为单一用户登录,所以只要确保被踹下去的那位无法完整走完登出请求即可。
- Spring-session获取sessionId 来作为key去redis中取session时, 我们就需要从返回的cookie中取出唯一性标识交给Spring-Session,让它拿着这个标识去Redis里面取。
2. 准备
- 因为有分布式部署的需求, 所以我们使用了Spring-Session来Session的管理. 具体的实现原理可以参见本人的之前的一篇博客。
- 现在的关键问题就成了 Spring-Session是以怎样的Key来存储我们的Session? 只要能弄明白这其中的细节,以上思路就会成为可能性。
3. 分析
经过一番探索,我们最终可以发现 Spring-Session是使用默认的UUID来作为Key值来将Session存储到Redis容器中的。为了没有看过源码的同学不至于过于迷糊,我这里稍微贴一点相关代码。
// ---------- RedisSession的构造函数
RedisSession() {
// 关键就是下面这句了, RedisSession以一个MapSession作为backup.
// 另外JdbcSession也是以一个MapSession作为backup.
this(new MapSession());
this.delta.put(CREATION_TIME_ATTR, getCreationTime());
this.delta.put(MAX_INACTIVE_ATTR, getMaxInactiveIntervalInSeconds());
this.delta.put(LAST_ACCESSED_ATTR, getLastAccessedTime());
this.isNew = true;
flushImmediateIfNecessary();
}
// ---------- MapSession的构造函数
public MapSession() {
// 这里的UUID.randomUUID().toString()就是默认的Redis中的键值;
// 当然其实Spring-Session将Session存入Redis时会给这个值附加一些前后缀. 不过与我们本次关注的重点关系不大. 就不再深入讲解了.
this(UUID.randomUUID().toString());
}
public MapSession(String id) {
// 所以上面生成的uuid最终是被存储在mapSession的id字段里.
this.id = id;
}
现在的问题就成了我们怎么去修改这个key?, 因为这个key显然是符合我们的需求(话也别说那么死, 其实我们可以记录当前登录的用户和该uuid的映射关系. 不过为了后期查询redis数据方便和快速定位问题, 这个方法直接被我略过了)。
4. 存储时的SessionId修改
继续探究源码, 我们会发现以上的MapSession
实例以cached
字段名存储在RedisSession
实例中的,而我们通过request.getSession()
获取到的实例,我们无法通过常规途径修改该id值, 所以我们就需要剑走偏锋了, 这里提供一个使用Mybatis内置类来达到此目的的方案.
// HttpSession session, HttpServletRequest request
MetaObject metaSession = SystemMetaObject.forObject(session);
metaSession.setValue("session.cached.id", WebUtils.findParameterValue(request, "userCode"));
以上就是完成了存储端session id的更改。现在就剩下获取端session id 的修改。
5. 提取时的SessionId修改
让我们继续探索源码, 最终我们可以发现 是CookieHttpSessionStrategy
实现的 getRequestedSessionId
被用来作为提取对应存储端session id 的key . 即 getRequestedSessionId
的返回值需要与以上我们存储的session id 一致就能达到了我们的目的——以用户唯一性标识作为key来存储和获取session信息。
还好Spring-Session给我们留出了足够的扩展, 这次我们索要做的就是覆写默认实现类CookieHttpSessionStrategy
中的getRequestedSessionId
方法的, 将用户标志性信息作为返回值, 这里我们使用了设计模式之一的Decorator模式(关于这个模式, 本人有一些反思之后的自我想法, 有时间写一篇博客讨论下), CookieHttpSessionStrategyDecorator
在该类中覆写getRequestedSessionId
方法.
6. 注册我们自定义的类
还剩下的工作就是将我们上面编写的CookieHttpSessionStrategyDecorator
注入到SessionRepositoryFilter
中,这一步非常简单。
RedisHttpSessionConfiguration
类的基类SpringHttpSessionConfiguration
类提供了注入HttpSessionStrategy
类的set方法setHttpSessionStrategy
, 因此我们只需要将其我们自定义的类注册到Spring容器中, 注入工作Spring就会帮我们完成。
7. 完善
至此,关键性的步骤已经基本完成, 剩下的就是:
1. 前端登录时, 删除掉之前用户相关的cookie信息(目前不完美)
2. 后端处理登录的代码里通过request.getSession(true)
显式要求必须获取到session, 然后按照上面所说反射方式修改其id, 构建自定义的RequestUser类实例作为session值, 然后返回当前登录用户的标志性信息和本次登录时间作为cookie进行返回, 以便该用户请求下次带着这些信息返回.
3. 用户登出时, 只需要从上面的RequestUser类实例中删除该登录用户的登录信息, 并移除上面的cookie信息(当前登录用户的标志性信息和本次登录时间)
4. 不过既然只允许单用户登录,我们这里应该是可以直接将该session销毁的. 这样做的话,切记在LoginFilter对登录的请求进行控制, 不要使得被踹掉的用户可以完成登出的请求。
5. 按照前文的优化——可以只采用单一存储最新登录信息,所以可以修改为所有的请求直接与最新的登陆信息进行判断,不相等即代表登录过时。
6. 我们之前有一步操作是在登录时将cookie清空,这样会造成一个问题:每次用户登录,其实我们都新生成了一个session, 并在其中存储了用户信息和登录信息。并将该Session作为value将之前那个session顶替掉(之所以可以顶替,就是因为我们前面所实现的以用户key作为redis的键). 那么之前登录的用户请求时,当然就无法和登录信息匹配了,这个虽然在需求上是达到了目的,但是与我们的预期可是有偏差的。
7. 针对上一个问题,我们在登录时让前端传递过来userCode(用_s标注), 然后在getRequestedSessionId 时先找_s对应的, 找不到再从cookie里找, 因为只有在登录界面 _s才会出现在请求数据。
8. 思考
由此引申出一个问题,如果不是使用Spring-Session, 使用单tomcat的情况下, 应该如何解决上述需求?关于这个我只阅读了一下Tomcat里的相关实现, 做了简单的分析,有需要的同学可以自己完善。
基本思路是也是创建一个Filter, 仿造Spring-Session, 将该Filter作为过滤链的的第一个Filter,
- 在 Filter中 的init 方法中接收传入的FilterConfig中存储的ServletContext ( filterConfig.getServletContext();)
然后在相应的 doFilter 实现中, 将 sc.getSessionCookieConfig() 中的 name 字段的值使用反射的方式进行修改, 这里需要注意的是如果像上面那样使用Mybatis的MetaObject是不行的, 因为Tomcat对javax.servlet.SessionCookieConfig的setName方法的实现会有这样的一行, 所以这里需要参考common-lang3中的FieldUtils.writeField实现来直接针对字段本身来进行反射方式修改值
@Override public void setName(String name) { // 这一行判断也决定只有在启动前调用此方法才生效, 之后再调用直接就抛出异常了. 所以依然得剑走偏锋. if (!context.getState().equals(LifecycleState.STARTING_PREP)) { throw new IllegalStateException(sm.getString( "applicationSessionCookieConfig.ise", "name", context.getPath())); } this.name = name; }
其他的基本和在spring-session类似了
- 登录时将当前用户的标识性信息,当前时间作为cookie返回给前台,
- 登出时将该用户对应的登录信息删除,
- 相关信息被从Session中移除.
- 然后就是LoginFilter的判断了.
9. 补充
- 如果认为以上cookie的安全性问题, 可以采用加盐,加密的方式缓解。
忘记了一个问题,就是”根据RFC 2109中的规定,在Cookie中只能包含ASCII的编码”; 所以我们在上述进行cookie服务端写入时需要进行一次URLEncode.encode编码, 这里给出核心实现
public final class CookieHttpSessionStrategyDecorator implements MultiHttpSessionStrategy, HttpSessionManager { private final CookieHttpSessionStrategy delegate = new CookieHttpSessionStrategy(); @Override public String getRequestedSessionId(HttpServletRequest request) { // 因为我们是以当前用户Code作为key进行存储, 所以我们取的时候也应该如此 // 这里的返回值被用来从Redis中取出对应的session; 我们在这里取出的是用户编号 return CookieHttpSessionStrategyDecorator.getCurrentUserCode(request); } public static final String getCurrentUserCode(HttpServletRequest request) { final Cookie userCookie = getCookie(request, ConstantsUtil.COOKIE_SPRING_SESSION_DEFAULT_ALIAS_PARAM_NAME); if (null == userCookie) { return null; } final String userName = userCookie.getValue(); return userName; } public static void modifySesssionIdToUserName(HttpSession session, HttpServletRequest request) { MetaObject metaSession = SystemMetaObject.forObject(session); final String userCode = WebUtils.findParameterValue(request, ConstantsUtil.COOKIE_SPRING_SESSION_DEFAULT_ALIAS_PARAM_NAME); // 这里修改之后的值会作为key来进行redis的键值对存储. // 所以这里是 userCode被设置作为 key 值, 这样就和上面getRequestedSessionId的返回值对应上了 metaSession.setValue("session.cached.id", encodeUserCode(userCode)); } public static void writeCookieForSpringSessionDirect(HttpServletRequest request, HttpServletResponse response, RequestUserLocationInfo rulInfo, RequestUser dataMap) { // user_code Cookie cookie = new Cookie(ConstantsUtil.COOKIE_SPRING_SESSION_DEFAULT_ALIAS_PARAM_NAME, encodeUserCode(dataMap.getUserCode())); // 浏览器关闭即销毁 cookie.setMaxAge(-1); cookie.setPath("/"); response.addCookie(cookie); //create_time cookie = new Cookie(ConstantsUtil.COOKIE_SPRING_CREATED_TIME_NAME, Long.toString(rulInfo .getCreatedTime())); cookie.setMaxAge(-1); cookie.setPath("/"); response.addCookie(cookie); } private static String encodeUserCode(final String userCode_originValue) { String userCode; try { // 根据RFC 2109中的规定,在Cookie中只能包含ASCII的编码 userCode = URLEncoder.encode(userCode_originValue, "UTF-8"); } catch (UnsupportedEncodingException e) { throw new RuntimeException(e); } return userCode; } }