SpringSecurity实现踢掉前一个登录用户

最新推荐文章于 2024-04-17 05:29:51 发布
最新推荐文章于 2024-04-17 05:29:51 发布
阅读量3k 收藏 9
点赞数 2
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34136709/article/details/106012825
版权

SpringSecurity实现踢掉前一个登录用户

1.需求分析
要实现一个用户不可以同时在两台设备上登录,有两种思路:
(1)后来的登录自动踢掉前面的登录,就像大家在扣扣中看到的效果
(2)如果用户已经登录,则不允许后来者登录。
这种思路都能实现这个功能,具体使用哪一个,还要看我们具体的需求。
在 Spring Security 中,这两种都很好实现,一个配置就可以。

2.具体实现
(1)踢掉前面的登录
想要用新的登录踢掉旧的登录,我们只需要将最大会话数设置为 1 即可,配置如下:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .loginPage("/login.html")
            .permitAll()
            .and()
            .csrf().disable()
            .sessionManagement()
            .maximumSessions(1);
}

maximumSessions 表示配置最大会话数为 1,这样后面的登录就会自动踢掉前面的登录
配置完成后,分别用 Chrome 和 Firefox 两个浏览器进行测试(或者使用 Chrome 中的多用户功能)
会有以下提示:

This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).

可以看到,这里说这个 session 已经过期,原因则是由于使用同一个用户进行并发登录

(2)禁止新的登录
如果相同的用户已经登录了,你不想踢掉他,而是想禁止新的登录操作,那也好办,配置方式如下:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .loginPage("/login.html")
            .permitAll()
            .and()
            .csrf().disable()
            .sessionManagement()
            .maximumSessions(1)
            .maxSessionsPreventsLogin(true);
}

添加 maxSessionsPreventsLogin 配置即可。此时一个浏览器登录成功后,另外一个浏览器就登录不了了。
觉得这样就完了,并没有
我们还需要再提供一个 Bean:

@Bean
HttpSessionEventPublisher httpSessionEventPublisher() {
    return new HttpSessionEventPublisher();
}

为什么要加这个 Bean 呢?因为在 Spring Security 中,它是通过监听 session 的销毁事件,来及时的清理 session 的记录。用户从不同的浏览器登录后,都会有对应的 session,当用户注销登录之后,session 就会失效,但是默认的失效是通过调用 StandardSession#invalidate 方法来实现的,这一个失效事件无法被 Spring 容器感知到,进而导致当用户注销登录之后,Spring Security 没有及时清理会话信息表,以为用户还在线,进而导致用户无法重新登录进来(小伙伴们可以自行尝试不添加上面的 Bean,然后让用户注销登录之后再重新登录)。

为了解决这一问题,我们提供一个 HttpSessionEventPublisher ,这个类实现了 HttpSessionListener 接口,在该 Bean 中,可以将 session 创建以及销毁的事件及时感知到,并且调用 Spring 中的事件机制将相关的创建和销毁事件发布出去,进而被 Spring Security 感知到,该类部分源码如下:

public void sessionCreated(HttpSessionEvent event) {
 HttpSessionCreatedEvent e = new HttpSessionCreatedEvent(event.getSession());
 getContext(event.getSession().getServletContext()).publishEvent(e);
}
public void sessionDestroyed(HttpSessionEvent event) {
 HttpSessionDestroyedEvent e = new HttpSessionDestroyedEvent(event.getSession());
 getContext(event.getSession().getServletContext()).publishEvent(e);
}

3.实现原理
上面这个功能,在 Spring Security 中是怎么实现的呢,稍微分析下
首先我们知道,在用户登录的过程中,会经过 UsernamePasswordAuthenticationFilter,而 UsernamePasswordAuthenticationFilter 中过滤方法的调用是在 AbstractAuthenticationProcessingFilter 中触发的,我们来看下 AbstractAuthenticationProcessingFilter#doFilter 方法的调用

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
  throws IOException, ServletException {
 HttpServletRequest request = (HttpServletRequest) req;
 HttpServletResponse response = (HttpServletResponse) res;
 if (!requiresAuthentication(request, response)) {
  chain.doFilter(request, response);
  return;
 }
 Authentication authResult;
 try {
  authResult = attemptAuthentication(request, response);
  if (authResult == null) {
   return;
  }
  sessionStrategy.onAuthentication(authResult, request, response);
 }
 catch (InternalAuthenticationServiceException failed) {
  unsuccessfulAuthentication(request, response, failed);
  return;
 }
 catch (AuthenticationException failed) {
  unsuccessfulAuthentication(request, response, failed);
  return;
 }
 // Authentication success
 if (continueChainBeforeSuccessfulAuthentication) {
  chain.doFilter(request, response);
 }
 successfulAuthentication(request, response, chain, authResult);

在这段代码中,我们可以看到,调用 attemptAuthentication 方法走完认证流程之后,回来之后,接下来就是调用 sessionStrategy.onAuthentication 方法,这个方法就是用来处理 session 的并发问题的。具体在

public class ConcurrentSessionControlAuthenticationStrategy implements
  MessageSourceAware, SessionAuthenticationStrategy {
 public void onAuthentication(Authentication authentication,
   HttpServletRequest request, HttpServletResponse response) {

  final List<SessionInformation> sessions = sessionRegistry.getAllSessions(
    authentication.getPrincipal(), false);

  int sessionCount = sessions.size();
  int allowedSessions = getMaximumSessionsForThisUser(authentication);

  if (sessionCount < allowedSessions) {
   // They haven't got too many login sessions running at present
   return;
  }

  if (allowedSessions == -1) {
   // We permit unlimited logins
   return;
  }

  if (sessionCount == allowedSessions) {
   HttpSession session = request.getSession(false);

   if (session != null) {
    // Only permit it though if this request is associated with one of the
    // already registered sessions
    for (SessionInformation si : sessions) {
     if (si.getSessionId().equals(session.getId())) {
      return;
     }
    }
   }
   // If the session is null, a new one will be created by the parent class,
   // exceeding the allowed number
  }

  allowableSessionsExceeded(sessions, allowedSessions, sessionRegistry);
 }
 protected void allowableSessionsExceeded(List<SessionInformation> sessions,
   int allowableSessions, SessionRegistry registry)
   throws SessionAuthenticationException {
  if (exceptionIfMaximumExceeded || (sessions == null)) {
   throw new SessionAuthenticationException(messages.getMessage(
     "ConcurrentSessionControlAuthenticationStrategy.exceededAllowed",
     new Object[] {allowableSessions},
     "Maximum sessions of {0} for this principal exceeded"));
  }

  // Determine least recently used sessions, and mark them for invalidation
  sessions.sort(Comparator.comparing(SessionInformation::getLastRequest));
  int maximumSessionsExceededBy = sessions.size() - allowableSessions + 1;
  List<SessionInformation> sessionsToBeExpired = sessions.subList(0, maximumSessionsExceededBy);
  for (SessionInformation session: sessionsToBeExpired) {
   session.expireNow();
  }
 }
}

稍微分析下
1.首先调用 sessionRegistry.getAllSessions 方法获取当前用户的所有 session,该方法在调用时,传递两个参数,一个是当前用户的 authentication,另一个参数 false 表示不包含已经过期的 session(在用户登录成功后,会将用户的 sessionid 存起来,其中 key 是用户的主体(principal),value 则是该主题对应的 sessionid 组成的一个集合)。

2.接下来计算出当前用户已经有几个有效 session 了,同时获取允许的 session 并发数。

3.如果当前 session 数(sessionCount)小于 session 并发数(allowedSessions),则不做任何处理;如果 allowedSessions 的值为 -1,表示对 session 数量不做任何限制。

4.如果当前 session 数(sessionCount)等于 session 并发数(allowedSessions),那就先看看当前 session 是否不为 null,并且已经存在于 sessions 中了,如果已经存在了,那都是自家人,不做任何处理;如果当前 session 为 null,那么意味着将有一个新的 session 被创建出来,届时当前 session 数(sessionCount)就会超过 session 并发数(allowedSessions)。

5.如果前面的代码中都没能 return 掉,那么将进入策略判断方法 allowableSessionsExceeded 中。

6.allowableSessionsExceeded 方法中,首先会有 exceptionIfMaximumExceeded 属性,这就是我们在 SecurityConfig 中配置的 maxSessionsPreventsLogin 的值,默认为 false,如果为 true,就直接抛出异常,那么这次登录就失败了如果为 false,则对 sessions 按照请求时间进行排序,然后再使多余的 session 过期即可

到此配置完成,欢迎评论点赞,谢谢!

江南飞鹏
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
web端同一账户同时登陆踢掉一个登录用户
一个小目标的博客
07-25 2万+
项目要求同一个账户只能在一处登录,如果同时登陆了就把一个登录踢掉。        1.首先在你的controller中定义两个参数 // 用户和Session绑定关系 public static final Map USR_SESSION = new HashMap(); // SessionId和用户的绑定关系 public static final Map SESSIONID_U
Spring security如何实现记录用户登录时间功能
08-24
Spring Security 记录用户登录时间功能...通过自定义 `AuthenticationSuccessHandler` 实现类和在 Spring Security 的配置文件中指定该实现类,我们可以轻松地记录用户登录时间,从而实现用户登录记录的追踪和分析。
Spring Security 自动踢掉一个登录用户实现代码
08-19
主要介绍了Spring Security 自动踢掉一个登录用户实现代码,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
spring-security实现多端登陆时,踢掉一个用户
Nio的博客
03-01 9478
实现思路是依赖于spring-security中的sessionRegistry和SessionInformation两个对象来判断和删除session。 UsernamePasswordAuthenticationFilter 实现类的attemptAuthentication方法中实现主要判断和删除session的逻辑: //获取所有在线用户 List...
SpringSecurity踢出指定用户
qq_41120971的博客
07-05 4091
SpringSecurity中可以使用 SessionRegistry 的实现类 SessionRegistryImpl 来获取session相关信息,可以通过这个实现类来踢出用户SpringSecurity配置 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired ISysUserService userService; @Overri
案例代码:springboot+springsecurity+redis设置登录后踢出一个登录用户
qq_41358574的博客
10-28 1302
文章目录pojo层security configcontroller:service: pojo层 @Data @AllArgsConstructor @NoArgsConstructor public class OnlineUser { private String userName; private String nickName; private String job; private String browser; private String i
SpringSecurity+Springboot实现踢掉一个登录用户
weixin_43381157的博客
08-03 1788
实现踢掉一个用户功能
单一用户登录,即当用户登录后要踢出一个登录,即做出踢人效果,如何实现
热门推荐
Ideality_hunter的专栏
10-24 1万+
单一用户登录,即当用户登录后要踢出一个登录,即做出踢人效果,如何实现? 一般情况下,用户登录,有两种方式:cookie方式,session方式。一般情况下,session方式是使用最多的。 一、关于session方式原理: 1)浏览器端发起请求,浏览器的cookie中有jsessionId,会随着http 请求,被发送到tomcat服务器端。 2)浏览器端的
Spring Security 实现短信验证码登录功能
08-19
Spring Security一个强大的安全框架,用于管理和保护Web应用程序的访问控制。在传统的用户名密码登录方式之外,短信验证码登录提供了一种更安全的验证机制,尤其适用于移动设备,因为它减少了密码被窃取的风险。 ...
如何基于spring security实现在线用户统计
08-19
Spring Security一个基于Spring Framework的安全框架,它提供了一个灵活、可扩展、可配置的安全解决方案。Spring Security 提供了许多功能,包括身份验证、授权、加密、会话管理等。 在线用户统计的重要性 在线...
Spring Security OAuth2 实现登录互踢的示例代码
08-19
主要介绍了Spring Security OAuth2实现登录互踢的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security实现多次登录失败后账户锁定功能
08-25
一般来说,实现这个需求,我们需要针对每一个用户记录登录失败的次数 nLock 和锁定账户的到期时间 releaseTime。具体你是把这 2 个信息存储在 mysql、还是文件中、还是 redis 中等等,完全取决于你对你所处的应用...
Spring-Security 控制用户并发登入,并剔除一个用户
zhouzhiwengang的专栏
07-16 4120
本文参考至:https://blog.csdn.net/xusanhong/article/details/53260373 添加该功能是在原有功能上增功能:SpringBoot +SpringSecurity+mysql 实现用户数据权限管理 spring-security 配置文件:添加用户并发登入的数量,session 失效跳转地址,实例化session 内存存储对象。 pack...
Spring Security框架中踢人下线技术探索(1)
最新发布
F1520080的博客
04-17 640
在上面我们已经说过了,既然是看源码,我们需要找到入口,这是看源码最好的方式,我们在使用Spring Session组件时,需要使用@EnableRedisHttpSession注解,那么该注解就是我们需要重点关注的对象,我们需要搞清楚,该注解的作用是什么?在该注解中,我们可以看到,最关键的是在该注解之上,使用@Import注解导入了RedisHttpSessionConfiguration.java配置类,如果你经常翻看Spring Boot相关的源码,你会敏锐地察觉到,该配置类就是我们最终要找的类。
spring security 用户登录挤掉其他用户的一种可能性
焺爅
01-11 391
实现UserDetails的class中,重写hashCode方法时所用字段值和其他用户重复 public class SecurityUser extends UsersInfo implements UserDetails { ... ... @Override public int hashCode() { return this.getTelephone().hashCode() ; // this.getTelephone()需要全库唯一 .
Spring Security OAuth2 实现登录互踢
冷冷的博客
04-30 7609
背景说明 一个账号只能一处登录,类似的业务需求在现有后管类系统是非常常见的。 但在原有的 spring security oauth2 令牌方法流程(所谓的登录)无法满足类似的需求。 我们先来看 TokenEndpoint 的方法流程 客户端 带参访问 /oauth/token 接口,最后去调用 TokenGranter TokenGranter 根据不同的授权类型,获取用户认证信息 并去调用...
springboot实现删除用户信息功能
Lushengshi的博客
04-07 2528
需要注意的是,在删除用户信息时应该谨慎处理,尤其是需要考虑到关联数据的删除或保留。同时,为了保证系统的安全性,应该对删除请求进行身份验证和授权。
Spring Security之使用数据库完成用户登录和注销(二)
sygg12345666的博客
11-01 426
Spring Security 之 使用数据库完成用户登录(二)一、Spring Security介绍二、Spring Security使用步骤三、结果展示 一、Spring Security介绍   Spring Security身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。   spring-security官网Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件
oauth2如何实现登录互踢
qq_42176433的博客
03-10 616
Oauth2登录互踢
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值