此处有巨坑
问题描述
使用数据库中的用户数据进行登录验证,配置好maximumSessions(1),使用多个浏览器登录同个账号,发现全都可以登陆,先登录的客户端也不会被挤下线。
先说解决方法:
- 自己的User类必须重写两个方法:继承自Object类的hashCode() 和 equals()
@Override public boolean equals(Object o) { if (this == o) return true; if (o == null || getClass() != o.getClass()) return false; User user = (User) o; return Objects.equals(username, user.username); } @Override public int hashCode() { return Objects.hash(username); }
- 配置文件中,参数为http那个configure中:
http.sessionManagement().maximumSessions(1).expiredSessionStrategy(sessionExpired);
**就这么两步,如果是使用内存中的用户或者使用Security自带的那个User类来封装用户名密码的话,只需要第二步,开箱即用。
原因排查
使用debug,从获取request中的用户名开始跟踪,发现所有的Session都是由org.spri