spring如何实现权限实时生效,如何获取在线用户,getAllPrincipals()为空

已于 2022-10-27 16:19:51 修改
阅读量1.3k 收藏 1
点赞数 3
文章标签: spring java 后端
于 2022-10-27 15:57:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34250494/article/details/127553141
版权

一、问题:

1、spring如何实现权限实时生效

spring security的权限修改后无法实时更新,由于使用的spring security做权限控制,并且在用户登录时,将该时刻用户的权限(authority)读到用户的UserDetails(org.springframework.security.core.userdetails.UserDetails)类中,如果用户不主动重新登录,那么这个写入到session中的类无法刷新。

我自己给出一个权限实时更新的解决办法:
写一个拦截器,拦截器中有一个static的map用于存储哪些用户需要去更新自己的权限,然后在更新权限的接口中往这个static的map喂数据。
模拟使用场景:用户A、B已经登录,用户A修改用户B的权限后,会将用户B加入到static的map中,只要当前的请求的session在map中那么就更新自己的session中的权限。

@Component
public class PermissionFlushInterceptor implements HandlerInterceptor {
    /**
     * key is the sessionId of the logged in user, value is the username of
     * the session.
     * when the user's permission is updated, add the username to this map
     */
    private static ConcurrentHashMap<String, String>
            usersNeedUpdatePermissions = new ConcurrentHashMap();

    @Override
    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response,
                             Object handler) throws Exception {
        String sessionId = request.getSession().getId();
        Authentication auth =
                SecurityContextHolder.getContext().getAuthentication();
        if (auth != null) {
            if (auth.getPrincipal() instanceof AuthenticationUser) {
                AuthenticationUser userDetails = (AuthenticationUser) auth.getPrincipal();
                if (usersNeedUpdatePermissions.size() > 0 &&
                    usersNeedUpdatePermissions.containsKey(sessionId)) {
                    updatePermissionInSession(auth, userDetails);
                    usersNeedUpdatePermissions.remove(sessionId);
                }
            }
        }
        return true;
    }

    private void updatePermissionInSession(Authentication auth,
                                           AuthenticationUser authenticationUser) {
        String username = authenticationUser.getUsername();
        AuthenticationUser newAuthUser =
                new AuthenticationUser.Builder(username)
                        .authorities(AgentContextImpl.getInstance()
                                                     .getRoleManager()
                                                     .getUserAllPermissions(
                                                             username))
                        .build();
        HttpAuthenticationUtils.setAuthentication(newAuthUser);
    }

    public static ConcurrentHashMap<String, String> getUsersNeedUpdatePermissions() {
        return usersNeedUpdatePermissions;
    }
}

拦截器需要加到WebMvcConfigurer中,这样前端的每次请求都会走这个拦截器。

  • 这里为什么key是sessionId?
    因为目前的登录策略设置的是允许同一个用户多浏览器同时登录,所以他们的区别是sessionId不相同,所以精确到sessionId作为key,不使用username,引入sessionId才能够从map中进行remove操作,username区分不了不同的浏览器。

  • AuthenticationUser 是实现了org.springframework.security.core.userdetails.UserDetails接口的自定义的用户信息类。需要重写hashCode和equals方法,重写好像是为了让spring知道只要用户名相同就是同一个对象。


public class AuthenticationUser implements UserDetails {

    private String username;
    private Set<AuthorityInfo> authorities = new HashSet<>();
		
	@Override
    public boolean equals(Object o) {
        if (this == o) {
            return true;
        }
        if (o == null || getClass() != o.getClass()) {
            return false;
        }
        AuthenticationUser that = (AuthenticationUser) o;
        return Objects.equals(username, that.username);
    }

    @Override
    public int hashCode() {
        return Objects.hash(username);
    }

	// other code ...
}

在修改用户角色,和修改角色权限的位置获取到当前系统在登录的用户,将在登录的用户加入在map中,(因为只需要这一部分在登录用户刷新自己的权限就行了)。

2、如何获取在线用户

需要获取当前spring服务的登录用户,哪些用户在登录状态,一个稍微好的博客写的解决办法
我大致思路和这个类似,也是用

sessionRegistry.getAllPrincipals()

理想的获取方式是:

 @Autowired
 @Qualifier("sessionRegistry")
 private SessionRegistry sessionRegistry;
    
 public Map<String, Integer> getAllLoggedInUsers() {
        List<Object> allPrincipals = sessionRegistry.getAllPrincipals();
        // key is the username, value is the session count of the username.
        Map<String, Integer> usernames = new HashMap<>();
        for (Object principal : allPrincipals) {
            if (principal instanceof AuthenticationUser) {
                AuthenticationUser authenticationUser =
                        (AuthenticationUser) principal;
                List<SessionInformation> allSessions =
                        sessionRegistry.getAllSessions(authenticationUser,
                                                       false);
                usernames.put(authenticationUser.getUsername(),
                              allSessions.size());
            }
        }
        return usernames;
    }

spring boot的配置类:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class AgentSecurityConfig extends WebSecurityConfigurerAdapter {


    @Value("${server.host.url}")
    private String serverHostUrl;

    /**
     * Security strategy
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/v1/**").authenticated()
            .anyRequest().permitAll()
            .and()
            .formLogin().disable()
            .and()
            .csrf().disable();

        http.sessionManagement()
            .sessionAuthenticationStrategy(concurrentSession());

        http.addFilterBefore(
                new CustomConcurrentSessionFilter(sessionRegistry()),
                ConcurrentSessionFilter.class);
    }

    @Bean
    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl();
    }

    @Bean
    public static ServletListenerRegistrationBean httpSessionEventPublisher() {
        return new ServletListenerRegistrationBean(new HttpSessionEventPublisher());
    }

    @Bean
    public CompositeSessionAuthenticationStrategy concurrentSession() {
        ConcurrentSessionControlAuthenticationStrategy
                concurrentAuthenticationStrategy =
                new ConcurrentSessionControlAuthenticationStrategy(
                        sessionRegistry());
        List<SessionAuthenticationStrategy> delegateStrategies =
                new ArrayList<SessionAuthenticationStrategy>();
        delegateStrategies.add(concurrentAuthenticationStrategy);
        delegateStrategies.add(new SessionFixationProtectionStrategy());
        delegateStrategies.add(
                new RegisterSessionAuthenticationStrategy(sessionRegistry()));
        // concurrentAuthenticationStrategy还可以进行一些配置,此处设置的是允许同一个用户多个浏览器同时登录
        concurrentAuthenticationStrategy.setMaximumSessions(-1);
        return new CompositeSessionAuthenticationStrategy(delegateStrategies);
    }
}

在登录成功的先引入策略类:

	// 先引入seesion管理的策略类,
    @Autowired
    @Qualifier("concurrentSession")
    private SessionAuthenticationStrategy sessionAuthenticationStrategy;

再调用session策略类的onAuthentication方法,表示认证成功,这一过程就经过了设置的策略,这样能够避免sessionRegistry.getAllPrincipals()为空的情况。

AuthenticationUser authUser =
                new AuthenticationUser.Builder(username)
                        .authorities(AgentContextImpl.getInstance()
                                                     .getRoleManager()
                                                     .getUserAllPermissions(username))
                        .build();
UsernamePasswordAuthenticationToken authentication =
                new UsernamePasswordAuthenticationToken(
                        authUser, null, authUser.getAuthorities());
        sessionAuthenticationStrategy.onAuthentication(authentication, request, response);

另一种方式获取在线用户,思想很简单,(未验证)

import javax.servlet.annotation.WebListener;
import javax.servlet.http.HttpSessionEvent;
import javax.servlet.http.HttpSessionListener;

@WebListener
public class SessionListener implements HttpSessionListener{
    private int onlineCount = 0;//记录session的数量
    /**
     * session创建后执行
     */
    @Override
    public void sessionCreated(HttpSessionEvent se) {
        onlineCount++;
        System.out.println("【HttpSessionListener监听器】 sessionCreated, onlineCount:" + onlineCount);
       //将最新的onlineCount值存起来
        se.getSession().getServletContext().setAttribute("onlineCount", onlineCount);
    }
    /**
     * session失效后执行
     */
    @Override
    public void sessionDestroyed(HttpSessionEvent se) {
        if (onlineCount > 0) {
            onlineCount--;
        }
        System.out.println("【HttpSessionListener监听器】 sessionDestroyed, onlineCount:" + onlineCount);
        //将最新的onlineCount值存起来
        se.getSession().getServletContext().setAttribute("onlineCount", onlineCount);
    }
}
星夜丶晚晚
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
Spring Security真正的实时更新权限方法!无需拦截器、踢出用户,直接修改Redis的内容
Tan_LC的博客
01-23 251
相信很多用了Spring Security的小伙伴在日常开发中,总会遇到需要实时更新权限的问题,比如,对一个新调入某个部门的员工,我们希望在管理员设置他的权限之后,这位员工立刻就能使用了,而不需要先退出登录然后再重新登录,以达到更好的用户体验。那么,我们能不能在后台悄悄地就把权限更新,而不需要用户自己访问呢?以上2、3都有一个问题,就是更新权限并不是经常发生的事情,可能用户用了几个月,管理员才会修改一次权限,如果只是为了确认权限有没有更新,就多一个步骤,那属实是有点浪费性能。首先,我们的项目采用的是。
SpringBoot集成Security,getAllPrincipals为空的问题
aroudy1的博客
08-27 2579
SpringBoot基于注解的形式集成Security,sessionRegistry.getAllPrincipals()方法获取到的已经登录的用户信息集合为空,试了网上说的各种方法都无法解决。最终找到了解决办法,如下所示: http.seesionManagemant().sessionAuthenticationStrategy(new ...) .maximumSessions(1) .expiredUrl("/login") .sessionRefistry(sessi
Spring Security真正的实时更新权限方法!无需拦截器、踢出用户,直接修改Redis的内容
qq_37436987的博客
02-05 2015
相信很多用了Spring Security的小伙伴在日常开发中,总会遇到需要实时更新权限的问题,比如,对一个新调入某个部门的员工,我们希望在管理员设置他的权限之后,这位员工立刻就能使用了,而不需要先退出登录然后再重新登录,以达到更好的用户体验。那么,我们能不能在后台悄悄地就把权限更呢?
SpringSecurity解决更新权限信息需要重启服务器和角色无法动态更新的Bug
m0_46084075的博客
05-23 1786
这两天在用SpringSecurity的时候发现两个很有意思的小问题,和大家分享一下,SpringSecurity是Spring家族的一个安全框架,具体的就不多说了,后续会写一些关于这个框架内容的博客 1. 第一个问题是SpringSecurity在更新权限信息后不会立即进行权限拦截,只有重启服务器才会开始拦截 2. 第二个问题是,在添加权限的时候,然后再访问被添加权限的页面的时候结果发现,我!被!限!制!访!问!了,就很离谱,这次解决了第一个问题,然后发现了第二个问题,自己写的代码自己无权访问哈哈哈.
如何基于spring security实现在线用户统计
08-19
Spring Security 在线用户统计实现详解 在本文中,我们将详细介绍如何基于 Spring Security 实现在线用户统计。在线用户统计是指在系统中实时统计当前活跃用户的数量,以便更好地监控和管理系统的使用情况。 ...
spring aop实现用户权限管理的示例
08-28
本篇文章主要介绍了使用 Spring AOP 实现用户权限管理的示例,通过 AOP 方式来实现权限管理,可以降低项目后期开发的可扩展性和代码重复率。 知识点一:AOP 在实际项目中的应用场景 AOP(Aspect-Oriented ...
使用spring oauth2框架获取当前登录用户信息的实现代码
08-18
使用Spring Oauth2框架获取当前登录用户信息的实现代码 在 Spring Oauth2 框架中,获取当前登录用户信息是一个常见的需求。本文将详细介绍如何使用 Spring Oauth2 框架获取当前登录用户信息的实现代码。 标题解释 ...
spring boot 利用注解实现权限验证的实现代码
08-26
"spring boot 利用注解实现权限验证的实现代码" Spring Boot 利用注解实现权限验证是指在 Spring Boot 框架中使用注解来实现权限验证的机制。这种机制可以在方法级别上对用户权限进行检查,从而确保只有具备相应...
JavaSpring AOP 实现用户权限验证
08-31
在本文中,我们将重点探讨如何使用Spring AOP实现用户权限验证。 首先,权限验证是任何应用程序中不可或缺的一部分,尤其是涉及到用户登录和访问控制的场景。通过Spring AOP,我们可以将权限验证的逻辑与业务代码...
整合Spring+Spring security基于RBAC模型实现通用的权限控制和用户管理系统(适合新手了解学习权限相关技术)
06-21
本项目基于Spring,整合Spring的security模块,实现用户管理和权限控制,是一套较为通用的权限控制功能,主要内容如下: 1.登录,包括“记住我”的功能; 2.加密,存储的密码不采用明文,初始密码1234; 3.拦截器...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
总的来说,Spring Boot + Spring Security + JWT的组合提供了一个强大且可扩展的用户认证和权限管理系统,适用于各种现代Web应用。在实际开发中,根据项目需求,可能还需要考虑如密码加密、刷新令牌、多因素认证等...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
本项目结合了SpringBoot、SpringSecurity以及JPA(Java Persistence API),实现用户角色权限的登录认证功能。以下是关于这些技术及实现过程的详细讲解。 1. **SpringBoot**:SpringBoot简化了Spring应用的初始...
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
Spring Security 动态加载用户角色权限实现登录及鉴权功能 在 Spring Security 中,动态加载用户角色权限实现登录及鉴权功能的关键步骤。本文将详细介绍如何使用 Spring Security 实现动态加载用户角色权限,并...
SpringBoot登录、退出、获取用户信息的session处理
最新发布
weixin_43837268的博客
08-16 1704
2、获取用户信息:user。3、退出方法:logout。1、登录方法:login。
Spring Sercurity获取不到当前用户信息值为Null
qq_39054053的博客
02-10 3821
今天使用Spring security获取当前用户信息时发现拿不到 Principal值为空并且报异常 前面我通过Spring Security的全局上下文设置 UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken= new UsernamePasswordAuthenticationToken(userDetails,null,userDetails.getAuthorities()); //加
SpringBoot 实战——统⼀⽤户登录权限验证
悟已往之不谏,知来者之可追
03-21 318
用户登录权限效验 1.1 最初的用户登录验证 1.2 Spring AOP 用户统一登录验证的问题 1.3 Spring 拦截器 1.3.1 准备工作 1.3.2 自定义拦截器 1.3.3 将自定义拦截器加入到系统配置 1.4 拦截器实现原理 1.4.1 实现原理源码分析 1.4.2 拦截器小结 1.5 扩展:统一访问前缀添加
Spring Security权限管理实战教程
Spring security实现权限管理的过程中,主要包括以下几个关键步骤: 1. **依赖配置** 首先,在项目`POM.xml`中添加必要的依赖,如Spring security、Spring核心库以及持久层框架(如Hibernate)。在提供的示例中...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值