Spring Security 强制退出指定用户

最新推荐文章于 2024-06-07 14:53:32 发布
最新推荐文章于 2024-06-07 14:53:32 发布
阅读量5.3k 收藏 6
点赞数 3
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37609579/article/details/80013991
版权

应用场景

最近社区总有人发文章带上小广告,严重影响社区氛围,好气!对于这种类型的用户,就该永久拉黑!

社区的安全框架使用了 spring-security 和 spring-session,登录状态 30 天有效,session 信息是存在 redis 中,如何优雅地处理这些不老实的用户呢?

首先,简单划分下用户的权限:

  • 管理员(ROLE_MANAGER):基本操作 + 管理操作
  • 普通用户(ROLE_USER):基本操作
  • 拉黑用户(ROLE_BLACK):不允许登录

然后,拉黑指定用户(ROLE_USER -> ROLE_BLACK),再强制该用户退出即可(删除该用户在 redis 中 session 信息)。

项目相关依赖及配置

Maven 依赖

        <!-- 安全 Security -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <!-- Redis -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>

        <!-- Spring Session Redis -->
        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-data-redis</artifactId>
        </dependency>

Spring Session 策略配置 application.yml

# 此处省略 redis 连接相关配置
spring:
  session:
    store-type: redis

Spring Security 配置代码示例

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/user/**").authenticated()
                .antMatchers("/manager/**").hasAnyRole(RoleEnum.MANAGER.getMessage())
                .anyRequest().permitAll()
                .and().formLogin().loginPage("/login").permitAll()
                .and().logout().permitAll()
                .and().csrf().disable();
    }

}

强制退出指定给用户接口

import com.spring4all.bean.ResponseBean;
import com.spring4all.service.UserService;
import lombok.AllArgsConstructor;
import org.springframework.session.FindByIndexNameSessionRepository;
import org.springframework.session.Session;
import org.springframework.session.data.redis.RedisOperationsSessionRepository;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.ArrayList;
import java.util.List;
import java.util.Map;

@RestController
@AllArgsConstructor
public class UserManageApi {

    private final FindByIndexNameSessionRepository<? extends Session> sessionRepository;

    private final RedisOperationsSessionRepository redisOperationsSessionRepository;

    private final UserService userService;

    /**
     * 管理指定用户退出登录
     * @param userId 用户ID
     * @return 用户 Session 信息
     */
    @PreAuthorize("hasRole('MANAGER')")
    @GetMapping("/manager/logout/{userId}")
    public ResponseBean data(@PathVariable() Long userId){
        // 查询 PrincipalNameIndexName(Redis 用户信息的 key),结合自身业务逻辑来实现
        String indexName = userService.getPrincipalNameIndexName(userId);
        // 查询用户的 Session 信息,返回值 key 为 sessionId
        Map<String, ? extends Session> userSessions = sessionRepository.findByIndexNameAndIndexValue(FindByIndexNameSessionRepository.PRINCIPAL_NAME_INDEX_NAME, indexName);
        // 移除用户的 session 信息
        List<String> sessionIds = new ArrayList<>(userSessions.keySet());
        for (String session : sessionIds) {
            redisOperationsSessionRepository.deleteById(session);
        }
        return ResponseBean.success(userSessions);
    }

}

说明 indexName 为 Principal.getName() 的返回值。

十步杀一人_千里不留行
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
springsecurity 实现强制用户下线-前后端分离
渣渣飞的博客
10-07 5783
强制用户下线前言设计思路查找资料自己手写缓存过滤器HttpSession监听器强制用户下线结尾 前言 最近相对较忙,没有更新博客,正值假期,赶紧抽空写两篇。也是遇到的项目上的需求:管理员变更了用户的权限,但是用户如果系统在线的话,有些权限功能仍旧可以使用。对此,强制用户下线的需求来了。括弧:由于系统预期为一对一的单服务系统,没有使用redis做缓存。所以对强制用户下线的功能带来了一些麻烦。 设计思...
shiro注销其他用户_Shiro实现互斥登录,并踢出登录用户功能。
weixin_33587161的博客
01-30 1017
作为一名小白,初遇到这种业务也着实头疼了一段时间。经历了各种查资料,总结出了一个相对简便的方法。首先在登陆之后使用Collection list = sessionDAO.getActiveSessions();方法获取到所有登录的用户,循环该list,取到集合中单个的session对象Subject s = new Subject.Builder().session(session).build...
springboot实现一个账号同时只能登录一个设备,其他设备登录登录之前登录的账号强制下线
最新发布
2301_80333628的博客
06-07 498
这里每次登录的时候不仅会将token返回给前端,同时也会将token存到数据库里。目的就是通过对token的比较判断用户是否已经登录,如果数据库里有token,并且数据库里的token和此次登录的token不一致,说明已经有用户登录过了,此次登录的时候就会更新数据库里的token,之前登录的用户的登录状态就会失效了。因为没有使用redis,使用jwt生成的token也不会存在redis,将登录信息生成token,将生成的token以及用户信息一并返回给前端,前端每次访问后端的接口都会携带token过来。
Spring Security 强制退出指定用户的方法
08-27
本篇文章主要介绍了Spring Security 强制退出指定用户的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot集成WebSocket实现单用户登录(强制下线
xiaosong2001的博客
06-18 3240
SpringBoot集成WebSocket实现单用户登录(强制下线
如何基于spring security实现在线用户统计
08-19
Spring Security 在线用户统计实现详解 在本文中,我们将详细介绍如何基于 Spring Security 实现在线用户统计。在线用户统计是指在系统中实时统计当前活跃用户的数量,以便更好地监控和管理系统的使用情况。 ...
Spring security自定义用户认证流程详解
08-24
Spring Security 自定义用户认证流程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多高级特性来保护基于 Spring 的应用程序。在本文中,我们将详细介绍 Spring Security 自定义...
Spring security如何实现记录用户登录时间功能
08-24
Spring Security 记录用户登录时间功能...通过自定义 `AuthenticationSuccessHandler` 实现类和在 Spring Security 的配置文件中指定该实现类,我们可以轻松地记录用户的登录时间,从而实现用户登录记录的追踪和分析。
SpringSecurity退出功能实现的正确方式(推荐)
08-25
Spring Security 退出功能实现的正确方式 Spring Security 框架提供了强大的安全功能,其中退出功能是非常重要的一部分。本文将介绍如何正确地实现 Spring Security 退出功能。 一、logout 最简及最佳实践 使用 ...
Spring Security实现禁止用户重复登陆的配置原理
08-25
Spring Security 是一个功能强大且灵活的安全框架,提供了许多强大的安全功能,其中之一就是禁止用户重复登陆的配置原理。本文将详细介绍 Spring Security 实现禁止用户重复登陆的配置原理,并提供了详细的示例代码...
Spring Security用户数据存入数据库
09-07
本篇主要讨论如何使用Spring Security用户数据存入数据库,以便更好地理解和应用这个框架。 首先,Spring Security 提供了 `UserDetailsService` 接口,该接口是连接数据源与安全机制的关键。它允许我们从不同的...
Java中SpringSecurity密码错误5次锁定用户的实现方法
08-31
主要介绍了Java中SpringSecurity密码错误5次锁定用户的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Spring Security保护用户密码常用方法详解
09-07
Spring Security 是一个强大的安全框架,用于管理Web应用和企业级应用的安全性。在Spring Security中,保护用户密码是非常关键的一环,因为不安全的密码处理可能导致严重的安全问题。本文将详细解析Spring Security...
Spring Security 自动踢掉前一个登录用户的实现代码
08-19
Spring Security 自动踢掉前一个登录用户的实现代码 Spring Security 是一个功能强大且流行的 Java 认证和授权框架,提供了许多实用的功能来保护 Web 应用程序。今天,我们将探讨如何使用 Spring Security 实现自动...
springsecurity-获取在线用户强制用户下线
HAN_789的博客
06-15 1268
springsecurity-获取在线用户强制用户下线
Spring Security 实战干货:实现自定义退出登录
码农小胖哥
10-23 5044
1. 前言 上一篇对 Spring Security 所有内置的 Filter 进行了介绍。今天我们来实战如何安全退出应用程序。 2. 我们使用 Spring Security 登录后都做了什么 这个问题我们必须搞清楚!一般登录后,服务端会给用户发一个凭证。常见有以下的两种: 基于 Session 客户端会存 cookie 来保存一个 sessionId ,服务端存一个 Session 。...
7.Spring Security 退出登录
LoveSummer
11-05 760
Spring Security 退出登录 Spring Security 默认的退出登录 URL 为/logout,退出登录后,Spring Security 会做如下处理: 使当前的 Sesion 失效; 清除与当前用户关联的 RememberMe 记录; 清空当前的 SecurityContext; 重定向到登录页。 Spring Security 允许我们通过配置来更改上...
Spring Security3 安全框架中文教程
通过这个文档,读者可以系统地学习到Spring Security3的完整知识体系,从基本的认证授权到复杂的用户管理和安全配置。对于想要掌握Spring Security3的开发者来说,这是一个非常宝贵的资源。同时,它也强调了在实际...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

十步杀一人_千里不留行

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值