配置spring-security对redis中session的同步处理,通过sessionRegistry统计在线用户

最新推荐文章于 2023-08-24 17:57:11 发布
最新推荐文章于 2023-08-24 17:57:11 发布
阅读量8.4k 收藏 15
点赞数 8
分类专栏: redis spring-session spring-security 文章标签: redis中session同步到springsecurity spring-security对session的同步处理 sessionRegistry统计在线用户 security与redis的整合 springsecurity和spring-session整合
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34997906/article/details/89312842
版权
问题描述:

登录用户的session在redis失效、清除或者用户退出系统后,系统中的sessionRegistry中session依然存在,并未同步失效

系统架构:

Springboot2 + SpringSecurity + spring-session-data-redis + Redis

1. Redis配置(当然可以只加注解,使用默认配置)
/** redis配置 */
@Configuration
public class RedisConfig extends CachingConfigurerSupport {
    // 自定义缓存key生成策略
    @Override
    @Bean
    public KeyGenerator keyGenerator() {
        return new KeyGenerator() {
            @Override
            public Object generate(Object target, java.lang.reflect.Method method, Object... params) {
                StringBuffer sb = new StringBuffer();
                sb.append(target.getClass().getName());
                sb.append(method.getName());
                for (Object obj : params) {
                    sb.append(obj.toString());
                }
                return sb.toString();
            }
        };
    }

    // 缓存管理器
    @Bean
    public CacheManager cacheManager(RedisConnectionFactory redisConnectionFactory) {
        RedisSerializer<String> redisSerializer = new StringRedisSerializer();
        Jackson2JsonRedisSerializer jackson2JsonRedisSerializer = new Jackson2JsonRedisSerializer(Object.class);

        //反序列化问题
        ObjectMapper om = new ObjectMapper();
        om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
        om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
        jackson2JsonRedisSerializer.setObjectMapper(om);

        // 解决存储乱码问题
        RedisCacheConfiguration config = RedisCacheConfiguration.defaultCacheConfig()
                // 缓存过期时间1hours  以application.yml配置文件中的优先级更高
                .entryTtl(Duration.ofHours(1))
                .serializeKeysWith(RedisSerializationContext.SerializationPair.fromSerializer(redisSerializer))
                .serializeValuesWith(RedisSerializationContext.SerializationPair.fromSerializer(jackson2JsonRedisSerializer))
                .disableCachingNullValues();

        RedisCacheManager cacheManager = RedisCacheManager.builder(redisConnectionFactory)
                .cacheDefaults(config)
                .build();
        return cacheManager;
    }
    
    @Bean
    public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory factory) {

        RedisTemplate<String, Object> template = new RedisTemplate<>();

        RedisSerializer<String> redisSerializer = new StringRedisSerializer();

        Jackson2JsonRedisSerializer jackson2JsonRedisSerializer = new Jackson2JsonRedisSerializer(Object.class);
        ObjectMapper om = new ObjectMapper();
        om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
        om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
        jackson2JsonRedisSerializer.setObjectMapper(om);

        template.setConnectionFactory(factory);
        //key序列化方式
        template.setKeySerializer(redisSerializer);
        //value序列化
        template.setValueSerializer(jackson2JsonRedisSerializer);
        //value hashmap序列化
        template.setHashValueSerializer(jackson2JsonRedisSerializer);

        return template;
    }
}
2. WebSecurity的配置 (重点)
@Configuration
@EnableWebSecurity
@Slf4j
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	// 此处只贴出了与sessionRegistry()相关的代码,其余配置还请自行在网上搜索。
	
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .sessionManagement()
                 // 无效session跳转
                 .invalidSessionUrl("/login")
                 .maximumSessions(1)
                 // session过期跳转
                 .expiredUrl("/login")
                 .sessionRegistry(sessionRegistry());
    }

    /**
     * 解决session失效后 sessionRegistry中session没有同步失效的问题,启用并发session控制,首先需要在配置中增加下面监听器
     * @return
     */
    @Bean
    public HttpSessionEventPublisher httpSessionEventPublisher() {
        return new HttpSessionEventPublisher();
    }
    
 	 /**
     * 注册bean sessionRegistry 
     */
    @Bean
    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl();
    }
}
3. 获取在线登录用户数量的方法
	/**
     * 获取系统在线用户数量
     * @return
     */
	public Integer getOnlineUserNum(SessionRegistry sessionRegistry){
        List<String> list = sessionRegistry.getAllPrincipals().stream()
                .filter(u -> !sessionRegistry.getAllSessions(u, false).isEmpty())
                .map(Object::toString)
                .collect(Collectors.toList());
        return list.size();
    }
4. 移除登出用户的session
import com.cebon.cdjcy.common.config.IApplicationConfig;
import com.cebon.cdjcy.common.util.IPUtils;
import com.cebon.cdjcy.common.utils.restResult.RestResult;
import com.cebon.cdjcy.common.utils.restResult.ResultCode;
import com.cebon.cdjcy.log.domain.SysLog;
import com.cebon.cdjcy.log.service.SysLogService;
import com.cebon.cdjcy.security.utils.ResponseUtils;
import com.cebon.cdjcy.sysconfig.service.SysconfigService;
import com.cebon.cdjcy.user.dto.LoginUserDTO;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;
import org.springframework.stereotype.Component;

import javax.annotation.Resource;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.Date;

@Component("securityLogoutSuccessHandler")
@Slf4j
public class SecurityLogoutSuccessHandler implements LogoutSuccessHandler {
	@Autowired
	private IApplicationConfig applicationConfig;
	@Resource
	private SysconfigService sysconfigService;
	@Resource
	private SysLogService sysLogService;
	@Override
	public void onLogoutSuccess(HttpServletRequest request , HttpServletResponse response , Authentication authentication) throws IOException,
            ServletException {

		// 清除登录的session
		this.removeSesion(request);
		// 记录登出日志
        if (null != authentication) {
            this.saveLog(request, authentication);
        }
		log.info("退出成功");
		String originHeader = request.getHeader("Origin");
		ResponseUtils.addResponseHeader(response, applicationConfig.getOrigins(), originHeader);
		RestResult result = new RestResult(ResultCode.SUCCESS.getCode(),"退出成功");
		response.setCharacterEncoding("UTF-8");
		response.setContentType("text/html; charset=UTF-8");
		PrintWriter writer = response.getWriter();
		writer.print(result.toJson());
		writer.flush();
	}

	/**
	 * 移除登录用户的session
	 * @param request
	 */
	private void removeSesion(HttpServletRequest request) {
		HttpSession session = request.getSession();
		// 手动让系统中的session失效 。
		session.invalidate();
	}

	/**
	 * 记录登出日志
	 * @param request
	 */
	private void saveLog(HttpServletRequest request, Authentication authentication) {
        LoginUserDTO user = (LoginUserDTO) authentication.getPrincipal();
        SysLog sysLog = new SysLog();
		sysLog.setOperation(6);
		sysLog.setLogUser(user.getId());
		sysLog.setCreateTime(new Date());
		sysLog.setLogIp(IPUtils.getIpAddr(request));
		sysLog.setLogDesc(user.getUsername() + " 退出了系统 ");
		sysLog.setLogMethod(request.getMethod());
		sysLog.setLogType(0);
		sysLogService.saveLog(sysLog);
	}
}

最后附上源码链接吧,GitHub源码地址
欢迎各位老铁star

弦上的梦
关注
  • 8
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
springsecurity实现原理_不用 Spring Security 可否?试试这个小而美的安全框架
weixin_39881387的博客
11-26 253
写在前面在一款应用的整个生命周期,我们都会谈及该应用的数据安全问题。用户的合法性与数据的可见性是数据安全非常重要的一部分。但是,一方面,不同的应用对于数据的合法性和可见性要求的维度与粒度都有所区别;另一方面,以当前微服务、多服务的架构方式,如何共享Session,如何缓存认证和授权数据应对高并发访问都迫切需要我们解决。Shiro的出现让我们可以快速和简单的应对我们应用的数据安全问题Shiro介绍...
spring-security简单使用与集成redis共享session(一)
王坤的博客
07-07 1672
一、搭建springboot项目 二、编写基础代码 1.Auth权限实体类 public class Auth implements Serializable { private static final long serialVersionUID = 1L; /** * 大模块code,例如咨询类功能 */ private String resourceCode; /** * 细化功能,例如查询咨询列表 */ p
集群环境下实现Session共享
菜园里的一只鸟
10-12 463
文章内容输出来源:拉勾教育Java高薪训练营 文章目录为什么要实现Session共享实现方案1. Nginx的IP_Hash策略2. Tomcat的Session复制3. Session存储SpringSession使用示例数据库脚本项目实现步骤Tomcat配置步骤Nginx配置步骤演示效果项目代码 为什么要实现Session共享 Http是无状态的,为了保持用户的信息,就需要通过Cookie或者Session来存储会话信息。如用户登录成功后,在Session存储用户信息,此用户后续的操作就不用再.
springSession+springSecurity结合使用实现redis管理session
热门推荐
nb7474的博客
03-20 2万+
目录1. pom.xml2. 进行springsessionredis配置3. session配置4. 查看redis5. 获取redis的当前用户总结 springboot使用security进行登录及权限控制可以查看之前的文章,springboot使用spring-security进行登陆控制 此篇主要介绍在已经使用springsecuriy的项目如何集成springsessi...
spring-session-data-redis-2.0.4.RELEASE-API文档-英对照版.zip
06-12
赠送jar包:spring-session-data-redis-2.0.4.RELEASE.jar; 赠送原API文档:spring-session-data-redis-2.0.4.RELEASE-javadoc.jar; 赠送源代码:spring-session-data-redis-2.0.4.RELEASE-sources.jar; 赠送...
spring-session-data-redis-2.0.4.RELEASE-API文档-文版.zip
06-26
赠送jar包:spring-session-data-redis-2.0.4.RELEASE.jar; 赠送原API文档:spring-session-data-redis-2.0.4.RELEASE-javadoc.jar; 赠送源代码:spring-session-data-redis-2.0.4.RELEASE-sources.jar; 赠送...
spring-redis-session 自定义 key 和过期时间
08-25
Spring-Redis-Session 提供了多种方式来设置会话的过期时间,包括通过配置文件、Java 配置类或注解等。其,通过 @EnableRedisHttpSession 注解可以设置会话的最大不活动间隔时间(maxInactiveIntervalInSeconds)...
spring-data-redis-2.3.9.RELEASE-API文档-文版.zip
07-13
赠送jar包:spring-data-redis-2.3.9.RELEASE.jar; 赠送原API文档:spring-data-redis-2.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-data-redis-2.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-...
spring-mvc-redis-session:带有redisspring-mvc http会话
05-11
spring-mvc-redis-session Spring-mvc session with redis. 使用redis作为session的持久化媒介。 特别说明 注意修改RedisHttpSession的参数: COOKIE=session id DOMAIN=域名
如何精确统计页面停留时长
LIRUN的博客
08-13 1065
没事经常翻翻技术博文,对自己的思路拓展很有帮助,有时候分享真的是一种美德,例如技术可以让生活变得更好,废话不多说,这就分享! 来源:字节跳动技术团队https://mp.weixin.qq.com/s/eLPWGqR6hOYVrwfa3OEVMA 01背景 页面停留时间(Time on Page)简称 Tp,是网站分析很常见的一个指标,用于反映用户在某些页面上停留时间的长短,传统的Tp统计方法会存在一定的统计盲区,比如无法监控单页应用,没有考虑用户切换Tab、最小化窗口等操作场景。基于上述背景,
Web端超时未操作自动退出系统
最新发布
weixin_46045255的博客
08-24 620
2.将用户第一次点击的时间转换为时间戳并存储到localStorage,如果用户在规定时间内进行了第二次点击操作,则将localStorage存储的时间戳重新存储为最新的操作时间。4.判断当前操作时间与上次操作时间差是否大于设定的 timeOut 自动退出时间。在Vue的app.vue我们可以监听全局的点击操作以及键盘操作。5.超出时间未操作则退出登录,未超出规定时间则将时间戳进行更新。在web端,经常会要求用户无操作后30分钟自动退出系统。我所实现的功能是基于Vue的。
WEB应用程序开发(六)创建Session对象与实现界面安全退出/登录功能
qq_51352148的博客
12-19 4032
WEB应用程序开发之创建Session对象与实现界面安全退出/登录功能什么是session创建Session思维图代码测试与结果Session方法Session生命周期创建方式销毁方式一. 服务器关闭二. 长时间不调用自动销毁三. 调用invalidate()方法 销毁session安全退出 什么是session Session对象是javax.servlet.http.HttpSession的实例 它在第一个JSP页面被装载时自动创建,完成会话期管理。 从一个客户打开浏览器并连接到服务器开始,到客户关闭浏
Spring Boot Redis的使用 及Spring Session共享实现
Suneey专栏
04-16 1504
一、关于Redis 最近阅读了《Redis开发与运维》,非常不错。这里对书的知识整理一下,方便自己回顾Redis的整个体系,来对相关知识点查漏补缺。 按照五点把书的内容进行一下整理: 1、为什么要选择Redis:介绍Redis的使用场景与使用Redis的原因; 2、Redis常用命令总结:包括时间复杂度总结与具体数据类型在Redis内部使用的数据结构; 3、Redis的高级功能:包括持久化、...
Springboot 用session监听器统计在线用户数量
默默不代表沉默
12-20 6225
今天给大家分享这个吧。 利用Springbootsession监听器去实现统计在线用户数量的需求(当然其实用shiro或者security是框架自己带有会话管理的,用起来更加方便)。 但是, 接下来这个是非常简单直接快速的实现这个需求,不废话了 上代码: 第一步 .既然用监听器实现,那肯定得创建监听器了。 创建SessionListener.class 我用的是最直接的注解方...
web项目长时间未操作,退出登录,跳转到登录页面
hht15927087748的博客
03-11 4053
&lt;script type="text/javascript"&gt; var lastTime = new Date().getTime(); var currentTime = new Date().getTime(); var timeOut = 1*60*1000; //设置超时时间: 1分 $(function(){ /* 鼠标移动事件 */ $(document...
web项目用户角色管理
万少博-FE
07-06 5314
最近更新时间:2017年7月6日13:14:49     任何一个web项目,按照是否有会员(用户)登陆划分,可以分为有会员网站和无会员网站,无会员网站结构简单内容单一,有会员网站结构复杂内容丰富。     对于有会员登陆的产品而言,项目整体的用户管理配置功能是产品最基本和最重要的功能。同时,有用户登陆的网站,网站的浏览模式分为两种:游客模式和会员模式,游客模式是指不通过登陆,任何人可
SpringSecurity-12-Redis实现基于session共享登录方案
zhoubangbang1的博客
03-31 516
SpringSecurity-12-Redis实现基于session共享登录方案简述 如果我们使用单机版本的Session存储身份信息的时候,如果服务器挂掉,那么服务就无法使用了。如果我们将项目部署到CD两台服务器上,Session就无法保持一致。如果用户user第一次访问C服务器,然后再次请求的时候访问D服务器,但是B没有存储user的session,这样用户就需要重新登录。所以为了解决这种情况,我们可以将session放到redis,以后用户请求都可以从redis获取session,从而保持登录二点
springboot+springSecurity+springSessionDataRedis+CAS搭建集群单点登陆系统
timedifier2的博客
11-21 5762
springboot+springSecurity+springSessionDataRedis+CAS搭建集群单点登陆
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值