Spring Security 强制退出指定用户

最新推荐文章于 2024-06-07 14:53:32 发布
最新推荐文章于 2024-06-07 14:53:32 发布
阅读量5.3k 收藏 6
点赞数 3
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37609579/article/details/80013991
版权

应用场景

最近社区总有人发文章带上小广告,严重影响社区氛围,好气!对于这种类型的用户,就该永久拉黑!

社区的安全框架使用了 spring-security 和 spring-session,登录状态 30 天有效,session 信息是存在 redis 中,如何优雅地处理这些不老实的用户呢?

首先,简单划分下用户的权限:

  • 管理员(ROLE_MANAGER):基本操作 + 管理操作
  • 普通用户(ROLE_USER):基本操作
  • 拉黑用户(ROLE_BLACK):不允许登录

然后,拉黑指定用户(ROLE_USER -> ROLE_BLACK),再强制该用户退出即可(删除该用户在 redis 中 session 信息)。

项目相关依赖及配置

Maven 依赖

        <!-- 安全 Security -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <!-- Redis -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>

        <!-- Spring Session Redis -->
        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-data-redis</artifactId>
        </dependency>

Spring Session 策略配置 application.yml

# 此处省略 redis 连接相关配置
spring:
  session:
    store-type: redis

Spring Security 配置代码示例

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/user/**").authenticated()
                .antMatchers("/manager/**").hasAnyRole(RoleEnum.MANAGER.getMessage())
                .anyRequest().permitAll()
                .and().formLogin().loginPage("/login").permitAll()
                .and().logout().permitAll()
                .and().csrf().disable();
    }

}

强制退出指定给用户接口

import com.spring4all.bean.ResponseBean;
import com.spring4all.service.UserService;
import lombok.AllArgsConstructor;
import org.springframework.session.FindByIndexNameSessionRepository;
import org.springframework.session.Session;
import org.springframework.session.data.redis.RedisOperationsSessionRepository;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.ArrayList;
import java.util.List;
import java.util.Map;

@RestController
@AllArgsConstructor
public class UserManageApi {

    private final FindByIndexNameSessionRepository<? extends Session> sessionRepository;

    private final RedisOperationsSessionRepository redisOperationsSessionRepository;

    private final UserService userService;

    /**
     * 管理指定用户退出登录
     * @param userId 用户ID
     * @return 用户 Session 信息
     */
    @PreAuthorize("hasRole('MANAGER')")
    @GetMapping("/manager/logout/{userId}")
    public ResponseBean data(@PathVariable() Long userId){
        // 查询 PrincipalNameIndexName(Redis 用户信息的 key),结合自身业务逻辑来实现
        String indexName = userService.getPrincipalNameIndexName(userId);
        // 查询用户的 Session 信息,返回值 key 为 sessionId
        Map<String, ? extends Session> userSessions = sessionRepository.findByIndexNameAndIndexValue(FindByIndexNameSessionRepository.PRINCIPAL_NAME_INDEX_NAME, indexName);
        // 移除用户的 session 信息
        List<String> sessionIds = new ArrayList<>(userSessions.keySet());
        for (String session : sessionIds) {
            redisOperationsSessionRepository.deleteById(session);
        }
        return ResponseBean.success(userSessions);
    }

}

说明 indexName 为 Principal.getName() 的返回值。

十步杀一人_千里不留行
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
shiro注销其他用户_Shiro实现互斥登录,并踢出登录用户功能。
weixin_33587161的博客
01-30 1009
作为一名小白,初遇到这种业务也着实头疼了一段时间。经历了各种查资料,总结出了一个相对简便的方法。首先在登陆之后使用Collection list = sessionDAO.getActiveSessions();方法获取到所有登录的用户,循环该list,取到集合中单个的session对象Subject s = new Subject.Builder().session(session).build...
7.Spring Security 退出登录
LoveSummer
11-05 755
Spring Security 退出登录 Spring Security 默认的退出登录 URL 为/logout,退出登录后,Spring Security 会做如下处理: 使当前的 Sesion 失效; 清除与当前用户关联的 RememberMe 记录; 清空当前的 SecurityContext; 重定向到登录页。 Spring Security 允许我们通过配置来更改上...
springboot实现一个账号同时只能登录一个设备,其他设备登录登录之前登录的账号强制下线
最新发布
2301_80333628的博客
06-07 409
这里每次登录的时候不仅会将token返回给前端,同时也会将token存到数据库里。目的就是通过对token的比较判断用户是否已经登录,如果数据库里有token,并且数据库里的token和此次登录的token不一致,说明已经有用户登录过了,此次登录的时候就会更新数据库里的token,之前登录的用户的登录状态就会失效了。因为没有使用redis,使用jwt生成的token也不会存在redis,将登录信息生成token,将生成的token以及用户信息一并返回给前端,前端每次访问后端的接口都会携带token过来。
SpringSecurity 退出登录
Curtisjia的博客
10-31 3425
退出登录 Spring Security默认的退出登录URL为/logout,退出登录后,Spring Security会做如下处理: 是当前的Sesion失效; 清除与当前用户关联的RememberMe记录; 清空当前的SecurityContext; 重定向到登录页。 Spring Security允许我们通过配置来更改上面这些默认行为。 我们在Spring Security配置中添加如下配置: ...... .and() .logout() .logoutUrl("/logout"
SpringBoot+Redis 防止用户重复登录
weixin_43165220的博客
09-01 3483
防止用户重复登录,在redis中存储登录信息有两种方式:第一种是以用户名作为redis的key,用户信息作为value,用户信息里面包含了token;第二种是用户名和token分别为key,用户名对应的value是用户信息,token对应的value是用户名。...
Spring Security 退出登录(三)
qq_36331657的博客
04-08 745
一般登录后,服务端会给用户发一个凭证 (1)基于 Session 客户端会存 cookie 来保存一个 sessionId ,服务端存一个 Session 。 (2)基于 token 客户端存一个 token 串,服务端会在缓存中存一个用来校验此 token 的信息 1.退出逻辑 1.当前的用户登录状态失效。这就需要我们清除服务端的用户状态。 2. 退出登录接口并不是 permitAll , 只有携带对应用户的凭证才退出。 3. 将退出结果返回给请求方。 4. 退出登录后用户可以通过重新登录
Spring Security 强制退出指定用户的方法
08-27
Spring Security 强制退出指定用户的方法 Spring Security 是一个功能强大且广泛使用的身份验证和授权框架,它提供了许多实用的功能来保护我们的应用程序。但是,在某些情况下,我们需要强制退出指定用户,例如,...
如何基于spring security实现在线用户统计
08-19
Spring Security 在线用户统计实现详解 在本文中,我们将详细介绍如何基于 Spring Security 实现在线用户统计。在线用户统计是指在系统中实时统计当前活跃用户的数量,以便更好地监控和管理系统的使用情况。 ...
Spring security自定义用户认证流程详解
08-24
Spring Security 自定义用户认证流程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多高级特性来保护基于 Spring 的应用程序。在本文中,我们将详细介绍 Spring Security 自定义...
Spring security如何实现记录用户登录时间功能
08-24
Spring Security 记录用户登录时间功能...通过自定义 `AuthenticationSuccessHandler` 实现类和在 Spring Security 的配置文件中指定该实现类,我们可以轻松地记录用户的登录时间,从而实现用户登录记录的追踪和分析。
SpringSecurity退出功能实现的正确方式(推荐)
08-25
Spring Security 退出功能实现的正确方式 Spring Security 框架提供了强大的安全功能,其中退出功能是非常重要的一部分。本文将介绍如何正确地实现 Spring Security 退出功能。 一、logout 最简及最佳实践 使用 ...
Spring Security 3多用户登录实现之十一 退出
04-13
NULL 博文链接:https://dreamzhong.iteye.com/blog/1729288
Springboot + redis+shiro 限制 同一账号 同时 多处登录
Joe_elena的博客
08-23 6741
从网上看了很多解决方案,用的最多的 应当是SessionId 了。方案虽多,适合自己的才是最好的。 之前做了一个 在线用户的统计 和 管理员 踢出激活在线用户的功能,因此我得到了一个启发。程序是死的,人是活得,我可不可以定一些规则,让程序 根据我的规定 来 运行。 思路: 1.定规则。 将 踢出的用户 画一个标识,也就是 访问的Sess ionId。踢出了 我将它标记为false 如果 ...
SpringSecurity 自定义表单登录
qq_34285557的博客
01-22 1306
SpringSecurity 自定义表单登录 本篇主要讲解 在SpringSecurity中 如何 自定义表单登录 , SpringSecurity默认提供了一个表单登录,但是实际项目里肯定无法使用的,本篇就主要讲解如何自定义表单登录  1.创建SpringSecurity项目   1.1 使用IDEA   先通过IDEA 创建一个Sprin...
初学spring security(六)-----退出登录和CRSF
m0_48631806的博客
03-25 974
用户只需要向Spring Security项目中发送/logout退出请求即可。<a href="/logout">退出登录如果不希望使用默认值,可以通过下面的方法进行修改。logout常用配置源码解读。
SpringSecurity+Springboot实现踢掉前一个登录用户
weixin_43381157的博客
08-03 1743
实现踢掉前一个用户功能
登录超时提示+踢人下线实现(spring security
zwrlj527的专栏
11-02 3101
spring security用户登录session登录管理真强大,虽然说很重,但是用起来确实方便。现在spring security不像以前了,它也与时俱进,配置早springBoot里做的很友好了你们猜.maximumSessions(2)会先踢哪个?如果要加信息推送知道在那里加了吧?认真看TODO好了,就到这吧,UPing!!
springSecurity查看在线用户下线用户
xiejx618的专栏
07-07 6363
参考: 文章<springSecurity五session并发控制>
SpringBoot+Shiro学习之自定义拦截器管理在线用户(踢出用户
热门推荐
qq_20954959的博客
03-05 1万+
应用场景 我们经常会有用到,当A 用户在北京登录 ,然后A用户在天津再登录 ,要踢出北京登录的状态。如果用户在北京重新登录,那么又要踢出天津的用户,这样反复。又或是需要限制同一用户的同时在线数量,超出限制后,踢出最先登录的或是踢出最后登录的。 第一个场景踢出用户是由用户触发的,有时候需要手动将某个在线用户踢出,也就是对当前在线用户的列表进行管理。 ··························
springsecurity自定义退出接口
07-20
Spring Security可以通过自定义登录接口来实现自定义的用户认证和授权机制。具体步骤如下: 1. 实现UserDetailsService接口,该接口用于从数据库或其他数据源中获取用户信息。 2. 实现AuthenticationProvider接口,该接口用于对用户进行认证和授权。 3. 在Spring Security配置文件中配置自定义的UserDetailsService和AuthenticationProvider。 4. 在登录页面中提交用户名和密码,Spring Security会自动调用自定义的UserDetailsService和AuthenticationProvider进行认证和授权。 5. 如果认证和授权成功,Spring Security会将用户信息存储在SecurityContext中,以便后续的访问控制。 6. 如果认证和授权失败,Spring Security会返回错误信息给用户。 总之,通过自定义登录接口,可以实现更加灵活和安全的用户认证和授权机制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

十步杀一人_千里不留行

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值