spring如何实现权限实时生效,如何获取在线用户,getAllPrincipals()为空

已于 2022-10-27 16:19:51 修改
阅读量1.3k 收藏 1
点赞数 3
文章标签: spring java 后端
于 2022-10-27 15:57:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34250494/article/details/127553141
版权

一、问题:

1、spring如何实现权限实时生效

spring security的权限修改后无法实时更新,由于使用的spring security做权限控制,并且在用户登录时,将该时刻用户的权限(authority)读到用户的UserDetails(org.springframework.security.core.userdetails.UserDetails)类中,如果用户不主动重新登录,那么这个写入到session中的类无法刷新。

我自己给出一个权限实时更新的解决办法:
写一个拦截器,拦截器中有一个static的map用于存储哪些用户需要去更新自己的权限,然后在更新权限的接口中往这个static的map喂数据。
模拟使用场景:用户A、B已经登录,用户A修改用户B的权限后,会将用户B加入到static的map中,只要当前的请求的session在map中那么就更新自己的session中的权限。

@Component
public class PermissionFlushInterceptor implements HandlerInterceptor {
    /**
     * key is the sessionId of the logged in user, value is the username of
     * the session.
     * when the user's permission is updated, add the username to this map
     */
    private static ConcurrentHashMap<String, String>
            usersNeedUpdatePermissions = new ConcurrentHashMap();

    @Override
    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response,
                             Object handler) throws Exception {
        String sessionId = request.getSession().getId();
        Authentication auth =
                SecurityContextHolder.getContext().getAuthentication();
        if (auth != null) {
            if (auth.getPrincipal() instanceof AuthenticationUser) {
                AuthenticationUser userDetails = (AuthenticationUser) auth.getPrincipal();
                if (usersNeedUpdatePermissions.size() > 0 &&
                    usersNeedUpdatePermissions.containsKey(sessionId)) {
                    updatePermissionInSession(auth, userDetails);
                    usersNeedUpdatePermissions.remove(sessionId);
                }
            }
        }
        return true;
    }

    private void updatePermissionInSession(Authentication auth,
                                           AuthenticationUser authenticationUser) {
        String username = authenticationUser.getUsername();
        AuthenticationUser newAuthUser =
                new AuthenticationUser.Builder(username)
                        .authorities(AgentContextImpl.getInstance()
                                                     .getRoleManager()
                                                     .getUserAllPermissions(
                                                             username))
                        .build();
        HttpAuthenticationUtils.setAuthentication(newAuthUser);
    }

    public static ConcurrentHashMap<String, String> getUsersNeedUpdatePermissions() {
        return usersNeedUpdatePermissions;
    }
}

拦截器需要加到WebMvcConfigurer中,这样前端的每次请求都会走这个拦截器。

  • 这里为什么key是sessionId?
    因为目前的登录策略设置的是允许同一个用户多浏览器同时登录,所以他们的区别是sessionId不相同,所以精确到sessionId作为key,不使用username,引入sessionId才能够从map中进行remove操作,username区分不了不同的浏览器。

  • AuthenticationUser 是实现了org.springframework.security.core.userdetails.UserDetails接口的自定义的用户信息类。需要重写hashCode和equals方法,重写好像是为了让spring知道只要用户名相同就是同一个对象。


public class AuthenticationUser implements UserDetails {

    private String username;
    private Set<AuthorityInfo> authorities = new HashSet<>();
		
	@Override
    public boolean equals(Object o) {
        if (this == o) {
            return true;
        }
        if (o == null || getClass() != o.getClass()) {
            return false;
        }
        AuthenticationUser that = (AuthenticationUser) o;
        return Objects.equals(username, that.username);
    }

    @Override
    public int hashCode() {
        return Objects.hash(username);
    }

	// other code ...
}

在修改用户角色,和修改角色权限的位置获取到当前系统在登录的用户,将在登录的用户加入在map中,(因为只需要这一部分在登录用户刷新自己的权限就行了)。

2、如何获取在线用户

需要获取当前spring服务的登录用户,哪些用户在登录状态,一个稍微好的博客写的解决办法
我大致思路和这个类似,也是用

sessionRegistry.getAllPrincipals()

理想的获取方式是:

 @Autowired
 @Qualifier("sessionRegistry")
 private SessionRegistry sessionRegistry;
    
 public Map<String, Integer> getAllLoggedInUsers() {
        List<Object> allPrincipals = sessionRegistry.getAllPrincipals();
        // key is the username, value is the session count of the username.
        Map<String, Integer> usernames = new HashMap<>();
        for (Object principal : allPrincipals) {
            if (principal instanceof AuthenticationUser) {
                AuthenticationUser authenticationUser =
                        (AuthenticationUser) principal;
                List<SessionInformation> allSessions =
                        sessionRegistry.getAllSessions(authenticationUser,
                                                       false);
                usernames.put(authenticationUser.getUsername(),
                              allSessions.size());
            }
        }
        return usernames;
    }

spring boot的配置类:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class AgentSecurityConfig extends WebSecurityConfigurerAdapter {


    @Value("${server.host.url}")
    private String serverHostUrl;

    /**
     * Security strategy
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/v1/**").authenticated()
            .anyRequest().permitAll()
            .and()
            .formLogin().disable()
            .and()
            .csrf().disable();

        http.sessionManagement()
            .sessionAuthenticationStrategy(concurrentSession());

        http.addFilterBefore(
                new CustomConcurrentSessionFilter(sessionRegistry()),
                ConcurrentSessionFilter.class);
    }

    @Bean
    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl();
    }

    @Bean
    public static ServletListenerRegistrationBean httpSessionEventPublisher() {
        return new ServletListenerRegistrationBean(new HttpSessionEventPublisher());
    }

    @Bean
    public CompositeSessionAuthenticationStrategy concurrentSession() {
        ConcurrentSessionControlAuthenticationStrategy
                concurrentAuthenticationStrategy =
                new ConcurrentSessionControlAuthenticationStrategy(
                        sessionRegistry());
        List<SessionAuthenticationStrategy> delegateStrategies =
                new ArrayList<SessionAuthenticationStrategy>();
        delegateStrategies.add(concurrentAuthenticationStrategy);
        delegateStrategies.add(new SessionFixationProtectionStrategy());
        delegateStrategies.add(
                new RegisterSessionAuthenticationStrategy(sessionRegistry()));
        // concurrentAuthenticationStrategy还可以进行一些配置,此处设置的是允许同一个用户多个浏览器同时登录
        concurrentAuthenticationStrategy.setMaximumSessions(-1);
        return new CompositeSessionAuthenticationStrategy(delegateStrategies);
    }
}

在登录成功的先引入策略类:

	// 先引入seesion管理的策略类,
    @Autowired
    @Qualifier("concurrentSession")
    private SessionAuthenticationStrategy sessionAuthenticationStrategy;

再调用session策略类的onAuthentication方法,表示认证成功,这一过程就经过了设置的策略,这样能够避免sessionRegistry.getAllPrincipals()为空的情况。

AuthenticationUser authUser =
                new AuthenticationUser.Builder(username)
                        .authorities(AgentContextImpl.getInstance()
                                                     .getRoleManager()
                                                     .getUserAllPermissions(username))
                        .build();
UsernamePasswordAuthenticationToken authentication =
                new UsernamePasswordAuthenticationToken(
                        authUser, null, authUser.getAuthorities());
        sessionAuthenticationStrategy.onAuthentication(authentication, request, response);

另一种方式获取在线用户,思想很简单,(未验证)

import javax.servlet.annotation.WebListener;
import javax.servlet.http.HttpSessionEvent;
import javax.servlet.http.HttpSessionListener;

@WebListener
public class SessionListener implements HttpSessionListener{
    private int onlineCount = 0;//记录session的数量
    /**
     * session创建后执行
     */
    @Override
    public void sessionCreated(HttpSessionEvent se) {
        onlineCount++;
        System.out.println("【HttpSessionListener监听器】 sessionCreated, onlineCount:" + onlineCount);
       //将最新的onlineCount值存起来
        se.getSession().getServletContext().setAttribute("onlineCount", onlineCount);
    }
    /**
     * session失效后执行
     */
    @Override
    public void sessionDestroyed(HttpSessionEvent se) {
        if (onlineCount > 0) {
            onlineCount--;
        }
        System.out.println("【HttpSessionListener监听器】 sessionDestroyed, onlineCount:" + onlineCount);
        //将最新的onlineCount值存起来
        se.getSession().getServletContext().setAttribute("onlineCount", onlineCount);
    }
}
星夜丶晚晚
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
如何基于spring security实现在线用户统计
08-19
Spring Security 在线用户统计实现详解 在本文中,我们将详细介绍如何基于 Spring Security 实现在线用户统计。在线用户统计是指在系统中实时统计当前活跃用户的数量,以便更好地监控和管理系统的使用情况。 ...
spring aop实现用户权限管理的示例
08-28
本篇文章主要介绍了使用 Spring AOP 实现用户权限管理的示例,通过 AOP 方式来实现权限管理,可以降低项目后期开发的可扩展性和代码重复率。 知识点一:AOP 在实际项目中的应用场景 AOP(Aspect-Oriented ...
Spring Security真正的实时更新权限方法!无需拦截器、踢出用户,直接修改Redis的内容
最新发布
Tan_LC的博客
01-23 252
相信很多用了Spring Security的小伙伴在日常开发中,总会遇到需要实时更新权限的问题,比如,对一个新调入某个部门的员工,我们希望在管理员设置他的权限之后,这位员工立刻就能使用了,而不需要先退出登录然后再重新登录,以达到更好的用户体验。那么,我们能不能在后台悄悄地就把权限更新,而不需要用户自己访问呢?以上2、3都有一个问题,就是更新权限并不是经常发生的事情,可能用户用了几个月,管理员才会修改一次权限,如果只是为了确认权限有没有更新,就多一个步骤,那属实是有点浪费性能。首先,我们的项目采用的是。
SpringBoot集成Security,getAllPrincipals的问题
aroudy1的博客
08-27 2579
SpringBoot基于注解的形式集成Security,sessionRegistry.getAllPrincipals()方法获取到的已经登录的用户信息集合为,试了网上说的各种方法都无法解决。最终找到了解决办法,如下所示: http.seesionManagemant().sessionAuthenticationStrategy(new ...) .maximumSessions(1) .expiredUrl("/login") .sessionRefistry(sessi
Spring Sercurity获取不到当前用户信息值为Null
qq_39054053的博客
02-10 3821
今天使用Spring security获取当前用户信息时发现拿不到 Principal值为并且报异常 前面我通过Spring Security的全局上下文设置 UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken= new UsernamePasswordAuthenticationToken(userDetails,null,userDetails.getAuthorities()); //加
SpringBoot登录、退出、获取用户信息的session处理
weixin_43837268的博客
08-16 1704
2、获取用户信息:user。3、退出方法:logout。1、登录方法:login。
Spring Security 获取所有登录的在线用户
俺滴的博客
05-05 3666
前言 接上文 《Spring Boot 注册登录demo 使用Spring Security和发送短信验证码》 我在我的Web应用程序中使用spring security,现在我想要列出所有登录我程序的用户. 我怎样才能访问该列表?它们不是已经存在于spring框架内的某个地方吗?像SecurityContextHolder或SecurityContextRepository? 下面就说我怎么搞的。 1、注入SessionRegistry @Bean public SessionRegist
spring security3 实现踢出在线用户
.
08-17 4878
spring security中有个 SessionRegistryImpl 的类,实现了 SessionRegistry 接口,这个实现类里有session的具体信息。 我实现踢出功能用户功能就是比对已注册的session的用户用户名,比对成功则调用isExpired() 让其session过期,当用户再次访问时就会跳转到session timeout的页面。 下面直接贴代码
使用spring oauth2框架获取当前登录用户信息的实现代码
08-18
使用Spring Oauth2框架获取当前登录用户信息的实现代码 在 Spring Oauth2 框架中,获取当前登录用户信息是一个常见的需求。本文将详细介绍如何使用 Spring Oauth2 框架获取当前登录用户信息的实现代码。 标题解释 ...
spring boot 利用注解实现权限验证的实现代码
08-26
"spring boot 利用注解实现权限验证的实现代码" Spring Boot 利用注解实现权限验证是指在 Spring Boot 框架中使用注解来实现权限验证的机制。这种机制可以在方法级别上对用户权限进行检查,从而确保只有具备相应...
Java之Spring AOP 实现用户权限验证
08-31
在本文中,我们将重点探讨如何使用Spring AOP实现用户权限验证。 首先,权限验证是任何应用程序中不可或缺的一部分,尤其是涉及到用户登录和访问控制的场景。通过Spring AOP,我们可以将权限验证的逻辑与业务代码...
java实时更新权限_java – 如何使用Spring Security重新加载用户更新的权限
weixin_39608509的博客
02-28 1014
如果您需要动态更新登录的用户权限(当这些权限发生变化时,无论什么原因),无需登出并登录,您只需要重置Spring SecurityContextHolder中的Authentication对象(安全令牌)即可.例:Authentication auth = SecurityContextHolder.getContext().getAuthentication();List updatedAuth...
Spring Security真正的实时更新权限方法!无需拦截器、踢出用户,直接修改Redis的内容
qq_37436987的博客
02-05 2016
相信很多用了Spring Security的小伙伴在日常开发中,总会遇到需要实时更新权限的问题,比如,对一个新调入某个部门的员工,我们希望在管理员设置他的权限之后,这位员工立刻就能使用了,而不需要先退出登录然后再重新登录,以达到更好的用户体验。那么,我们能不能在后台悄悄地就把权限更呢?
spring boot check/token Principal 如何注入
weixin_35753431的博客
01-06 389
Spring Boot 中使用 Principal 注入的方法如下: 在 Controller 类的方法参数中加入 Principal 类型的参数,Spring Boot 会自动将当前用户的 Principal 注入进来。 例如: @GetMapping("/user") public String getUser(Principal principal) { return "He...
SpringSecurity获取当前用户信息
热门推荐
【欢迎关注公众号:冬瓜白】
07-13 1万+
一般主要获取两种信息:获取Authentication也可以写成:获取结果:具体信息说明可以参看我的另一篇博客:https://blog.csdn.net/dongguabai/article/details/80932225获取UserDetails这里获取的UserDetails其实就相当于是上面的Authentication中的principal。当然,也可以封装成一个工具类:/** * ...
spring boot security 更新权限后,修改内存中权限内容,不必重新启动项目,重新登录就能生效...
weixin_30412167的博客
03-08 1324
第一步:在controller中注入 @Autowired private MyInvocationSecurityMetadataSourceService cs; MyInvocationSecurityMetadataSourceService 为配置中继承FilterInvocationSecurityMetadataSource的配置类 第二步:强制重新加载资源 cs.lo...
06SpringBoot 集合Shiro
niannujiao6的博客
12-25 128
Shiro安全框架 Apache Shiro是一个Java的安全(权限)框架 Shiro可以非常容易的开发出足够好的应用,不仅可以应用在JavaSE的环境,也可以用在JavaEE的环境 Shiro可以完成认证,授权,加密,会话管理,Web集成,缓存等 下载地址:Shiro官方描述 框架结构 Subject:当前用户 Shiro SecurityManager:作用是管理所有的用户,也就是管理Subjet Realm:保证数据访问控制,相当于数据层,与数据打交道 实战测试 准备工作 准备工作包括创建实体类
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值