springboot集成shiro禁止用户多点登录或重复登录剔除

最新推荐文章于 2024-05-16 10:28:26 发布
最新推荐文章于 2024-05-16 10:28:26 发布
阅读量1.1w 收藏 37
点赞数 9
分类专栏: SpringBoot shiro 文章标签: SpringBoot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35113996/article/details/84256271
版权

近期用springboot整合shiro,进行了一个小项目。因为shiro只是一个Java安全框架,并不会做重复登录的拦截,当一个用户登录成功后(chrome登录),再用另外一个浏览器登录(IE登录)或者另外一台电脑进行登录,两个都会登录成功,两个不同的session。(题外话:同一个浏览器登录后,再打开一个标签页访问项目会直接进入登录后跳转的页面,两者是同一个session。)

预期目的:不允许重复登录,预设两个方法解决,方法一、当第二次登录时,把第一个session剔除;方法二、当第二次登录时,给出提示“用户已登录”,停留在登录页面。

废话了一大堆,下面就开始真正的表演,因为是springboot所以省去很多xml配置,全部交给Spring管理,shiro的配置如下:

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.cache.MemoryConstrainedCacheManager;
import org.apache.shiro.cache.ehcache.EhCacheManager;
import org.apache.shiro.session.mgt.eis.MemorySessionDAO;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;

import javax.servlet.Filter;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * Shiro的配置
 *
 * @Author Rocky
 * @Create 2018-11-06 10:20
 */
@Configuration
public class ShiroConfig {

    @Bean(name = "sessionDAO")
    public MemorySessionDAO getMemorySessionDAO() {
        return new MemorySessionDAO();
    }

    @Bean(name = "sessionIdCookie")
    public SimpleCookie getSimpleCookie() {
        SimpleCookie simpleCookie = new SimpleCookie();
        simpleCookie.setName("SHRIOSESSIONID");
        return simpleCookie;
    }

    //配置shiro session 的一个管理器
    @Bean(name = "sessionManager")
    public DefaultWebSessionManager getDefaultWebSessionManager() {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionDAO(getMemorySessionDAO());
        sessionManager.setSessionIdCookie(getSimpleCookie());
        return sessionManager;
    }

    //配置session的缓存管理器
    @Bean(name = "shiroCacheManager")
    public MemoryConstrainedCacheManager getMemoryConstrainedCacheManager() {
        return new MemoryConstrainedCacheManager();
    }

    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);
        // 登录配置
        shiroFilter.setLoginUrl("/login");
        shiroFilter.setSuccessUrl("/");
        shiroFilter.setUnauthorizedUrl("/error?code=403");
        // 自定义过滤器
        Map<String, Filter> filtersMap = new LinkedHashMap<String, Filter>();
        filtersMap.put("myLoginFilter", new MyLoginFilter());
        shiroFilter.setFilters(filtersMap);
        // 拦截配置
        Map<String, String> filterChainDefinitions = new LinkedHashMap<>();
        filterChainDefinitions.put("/assets/**", "anon");
        filterChainDefinitions.put("/module/**", "anon");
        filterChainDefinitions.put("/api/**", "anon");
        filterChainDefinitions.put("/druid/**", "anon");
        filterChainDefinitions.put("/login", "anon");
        filterChainDefinitions.put("/logout", "anon");
        filterChainDefinitions.put("/**", "myLoginFilter,authc");
        shiroFilter.setFilterChainDefinitionMap(filterChainDefinitions);
        return shiroFilter;
    }

    @Bean(name = "userRealm")
    @DependsOn("lifecycleBeanPostProcessor")
    public UserRealm userRealm() {
        UserRealm userRealm = new UserRealm();
        userRealm.setCredentialsMatcher(credentialsMatcher());
        return userRealm;
    }

    @Bean(name = "securityManager")
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm());
        securityManager.setCacheManager(cacheManager());
        securityManager.setSessionManager(getDefaultWebSessionManager());
        return securityManager;
    }

    @Bean(name = "cacheManager")
    public EhCacheManager cacheManager() {
        EhCacheManager cacheManager = new EhCacheManager();
        cacheManager.setCacheManagerConfigFile("classpath:shiro/ehcache-shiro.xml");
        return cacheManager;
    }

    @Bean(name = "credentialsMatcher")
    public HashedCredentialsMatcher credentialsMatcher() {
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        credentialsMatcher.setHashAlgorithmName("md5");  //散列算法
        credentialsMatcher.setHashIterations(3);  //散列次数
        return credentialsMatcher;
    }

    @Bean(name = "lifecycleBeanPostProcessor")
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        LifecycleBeanPostProcessor lifecycleBeanPostProcessor = new LifecycleBeanPostProcessor();
        return lifecycleBeanPostProcessor;
    }

    /**
     * shiro里实现的Advisor类,用来拦截注解的方法 .
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager());
        return advisor;
    }

    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }
}

 我的UserRealm如下:

import com.wf.ew.common.utils.StringUtil;
import com.wf.ew.system.model.Authorities;
import com.wf.ew.system.model.Role;
import com.wf.ew.system.model.User;
import com.wf.ew.system.service.AuthoritiesService;
import com.wf.ew.system.service.RoleService;
import com.wf.ew.system.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Lazy;

import java.util.HashSet;
import java.util.List;
import java.util.Set;

/**
 * Shiro认证和授权
 *
 * @Author Rocky
 * @Create 2018-11-06 10:28
 */
public class UserRealm extends AuthorizingRealm {
    @Autowired
    @Lazy
    private UserService userService;
    @Autowired
    @Lazy
    private RoleService roleService;
    @Autowired
    @Lazy
    private AuthoritiesService authoritiesService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        User user = (User) SecurityUtils.getSubject().getPrincipal();
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        // 角色
        List<Role> userRoles = roleService.getByUserId(user.getUserId());
        Set<String> roles = new HashSet<>();
        for (int i = 0; i < userRoles.size(); i++) {
            roles.add(String.valueOf(userRoles.get(i).getRoleId()));
        }
        authorizationInfo.setRoles(roles);
        // 权限
        List<Authorities> authorities = authoritiesService.listByUserId(user.getUserId());
        Set<String> permissions = new HashSet<>();
        for (int i = 0; i < authorities.size(); i++) {
            String authority = authorities.get(i).getAuthority();
            if (StringUtil.isNotBlank(authority)) {
                permissions.add(authority);
            }
        }
        authorizationInfo.setStringPermissions(permissions);
        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username = (String) authenticationToken.getPrincipal();
        User user = userService.getByUsername(username);
        if (user == null) {
            throw new UnknownAccountException(); // 账号不存在
        }
        if (user.getState() != 0) {
            throw new LockedAccountException();  // 账号被锁定
        }
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Util.bytes(user.getUsername()), getName());
        return authenticationInfo;
    }
}

controller具体写法如下:


/**
 * 登录
 *
 * @Author Rocky
 * @Create 2018-11-06 10:46
 */
    @ResponseBody
    @PostMapping("/login")
    public JsonResult doLogin(String username, String password, String code, HttpServletRequest request) {
        if (StringUtil.isBlank(username, password)) {
            return JsonResult.error("账号密码不能为空");
        }
        if (!CaptchaUtil.ver(code, request)) {
            CaptchaUtil.clear(request);
            return JsonResult.error("验证码不正确");
        }
        try {
            UsernamePasswordToken token = new UsernamePasswordToken(username, password);
            Subject subject = SecurityUtils.getSubject();
            subject.login(token);
            Collection<Session> sessions = sessionDAO.getActiveSessions();
            if (subject.isAuthenticated()) {
                for (Session session : sessions) {
                    //方法一、当第二次登录时,给出提示“用户已登录”,停留在登录页面
                    if(username.equals(session.getAttribute("loginedUser"))){
                        subject.logout();
                        throw new RuntimeException("用户已登录");
                    }
                    //方法二、当第二次登录时,把第一个session剔除
//                    if(username.equals(session.getAttribute("loginedUser"))){
//                        session.setTimeout(0);
//                    }
                }
            }
            subject.getSession().setTimeout(1000*60*1);
            userService.update(getLoginUserId(),subject.getSession().getId().toString());
            subject.getSession().setAttribute("loginedUser",username);
            addLoginRecord(getLoginUserId(), request);
            return JsonResult.ok("登录成功");
        } catch (IncorrectCredentialsException ice) {
            return JsonResult.error("密码错误");
        } catch (UnknownAccountException uae) {
            return JsonResult.error("账号不存在");
        } catch (LockedAccountException e) {
            return JsonResult.error("账号被锁定");
        } catch (ExcessiveAttemptsException eae) {
            return JsonResult.error("操作频繁,请稍后再试");
        } catch (RuntimeException e){
            return JsonResult.error(e.getMessage());
        }
    }

目前方法一和方法二都有一个共同问题:效率!!!!没错,如果有一亿用户在线,那就要遍历一亿次,可怕啊!本人目前还没有想到更好的解决方法,如果有大神有好的方法万望赐教!!

说完两种方法的通病再来单独分析一下方法一和方法二的不足,方法一:如果操作人员不是常规退出,而是通过浏览器清除全部的浏览数据,刷新页面虽然返回登录页面,但是再用刚才的账号登录时会提示已经登录,因为之前的账号shiro还是一直认证通过状态,只能等session超时了才能登录(如果设置session超时时间为2小时或更久那就太悲剧了);方法二:虽然不会产生方法一的问题,但是两个人AB公用一个账户,AB同时登录,AB同时处在下图的页面,A修改了demo的状态为锁定,而B用户的页面不会改变仍是正常的状态。

好了,以上就是springboot集成shiro禁止用户多点登录或重复登录剔除,有不足的地方请各位大神多多指教!

缱绻白衣
关注
  • 9
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 30
    评论
专栏目录
springboot + shiro 尝试登录次数限制与并发登录人数控制
Gblfy_Blog
12-16 977
文章目录一、尝试登录次数控制实现1. 实现原理2. maven依赖3. ehcache配置4. RetryLimitCredentialsMatcher5. Shiro配置修改6. realm添加认证器7. 并发在线人数控制实现8. ehcache配置9. shiro配置10. shiro过滤链中加入并发登录人数过滤器11. 参考博客: 一、尝试登录次数控制实现 1. 实现原理 Realm在验证用户身份的时候,要进行密码匹配。最简单的情况就是明文直接匹配,然后就是加密匹配,这里的匹配工作则就是交给Crede
springboot + shiro 整合 redis 缓存用户并发登录限制和用户登录错误次数
快乐的小三菊的博客
06-08 2840
springboot + shiro + redis
Springboot+Shiro实现登录
最新发布
gnsbxjj的博客
05-16 377
Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。shiro由三部分组成:1、Subject:当前操作的用户就是当前登录用户;2、SecurityMapper:该组件用来管理所有操作用户的安全操作3、Realm:该组件需要自己来定义,shiro当前登录的账号、密码是否正确,并且其拥有那些权限。
shiro+springboot+mybatis实现禁止账号重复登录
sunsgne_AC的专栏
02-08 1万+
springboot和mybatis整合在这我就不说了有兴趣的自己去找一下,网上有很多下面介绍一下和shiro整合的一些配置以及怎么防止用户重复登录,什么叫防止重复登录?嗯........ 好吧,我解释一下就是,一个账号在同一时间只能在一处登录,比如张三在北京登录了,还没有下线呢,李四也用同一账号在上海登录了,那就会把北京的张三挤下来,张三如果不服,也可以把李四挤下来。就像qq在电脑端一样,后面的...
Spring Boot + Spring Security 防止用户在多处同时登录(一个用户同时只能登录一次)及源码分析
杰明Jamin的博客
01-02 4万+
Spring Boot + Spring Security 防止用户在多处同时登录(一个用户同时只能登录一次)及源码分析,网上很多文章的实现方法写得比较复杂 ,这里介绍一个简单的方法。
Shiro 设置session超时时间
热门推荐
zsg88的专栏
04-06 5万+
系统默认超时时间是180000毫秒(30分钟),可以通过下面2中方式设置自定义的超时时间。 一: 配置文件 二:通过api Shiro的Session接口有一个setTimeout()方法,登录后,可以用如下方式取得session SecurityUtils.getSubject().get
Springboot+Shiro记录用户登录信息并获取当前登录用户信息的实现代码
08-19
Springboot+Shiro记录用户登录信息并获取当前登录用户信息的实现代码 本文主要介绍了使用 SpringbootShiro 框架记录用户登录信息,并获取当前登录用户信息的实现代码。Shiro 是一个功能强大的权限管理框架,...
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
"spring boot 1.5.4 集成shiro+cas实现单点登录和权限控制" Spring Boot 1.5.4 集成 Shiro+Cas 实现单点登录和权限控制是指在 Spring Boot 应用程序中使用 Shiro 框架和 Cas 服务器来实现单点登录和权限控制的功能...
SpringBoot整合Shiro后实现免密登录
04-11
SpringBoot整合Shiro后实现免密登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken免密登录调用方法和密码登录调用方法都在里面。 3,新增...
Springboot+shiro单点登录实现.md
09-15
Springboot+shiro单点登录实现,本文档是单点登录的全部源代码。
SpringBoot集成Shiro进行权限控制和管理的示例
08-27
SpringBoot集成Shiro进行权限控制和管理的示例 SpringBoot是一个流行的Java框架,用于快速构建基于Web的应用程序,而Shiro是一个轻量级的身份验证与授权框架,提供了灵活的身份验证和授权机制。本文将介绍如何将...
解决在线用户列表和重复登录
06-28
解决在线用户列表和重复登录
SpringBoot整合shiro禁止重复登陆(附源码)
临窗,听雨声
11-12 4353
禁止重复登陆,就是同一个账号在不同的浏览器,不同的设备登陆的时候只会有一个登陆成功,其他的都会被挤下去。 就像,我登的我的账号,这个时候你再来登我的账号,我就被挤下去了。 本文将介绍如何使用shiro禁止重复登陆。 每一个登陆用户登陆后都会存在于 shiro 的一个 session里面。当然,这里我们需要设置,登陆成功后 Session session = SecurityUtils.g...
shiro限制重复账号登陆
wdsafmy468619的专栏
07-24 6838
遍历同一个账户的session private List getLoginedSession(Subject currentUser) { Collection list = ((DefaultSessionManager) ((DefaultSecurityManager) SecurityUtils .getSecurityManager()).getSessionManager()).ge
web应用使用shiro控制在线人数及账号重复登录问题
abc5582的博客
02-26 3855
1、在shiro的xml配置文件中加入sessionDAO的配置,因为在ShiroRealm.java中需要使用此对象。    &lt;!-- Realm实现 --&gt;    &lt;bean id="shiroRealm" class="com.sinosoft.base.util.ShiroRealm"/&gt;    &lt;bean id="sessionDAO" class="org.
Shiro限制登录尝试次数
zsg88的专栏
06-30 9280
要限制用户登录尝试次数,必然要对用户名密码验证失败做记录,Shiro用户名密码的验证交给了CredentialsMatcher  所以在CredentialsMatcher里面检查,记录登录次数是最简单的做法。 我们用Ehcache来记录用户登录次数的计数,继承HashedCredentialsMatcher,加入缓存,在每次验证用户名密码之前先验证用户名尝试次数,如果超过5次就抛出尝试
Druid 如何自动登录
chiquanmo0842的博客
07-15 3427
Druid 如何自动登录 首先说明一下,为什么要自动登录 必须要有密码,否则别人直接访问项目地址+"/druid"就可以访问,不安全; 不想有二次登录(不解释); 实现思路 菜单配置路径 toDruid; 跳转页面后,ajax触发 doDruid.json 请求; 后台编写Filter,...
springboot集成shiro
07-27
对于Spring Boot集成Shiro,你可以按照以下步骤进行操作: 1. 首先,在你的Spring Boot项目中添加Shiro的依赖。你可以在pom.xml文件中添加以下依赖关系: ```xml <groupId>org.apache.shiro <artifactId>shiro-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 30
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值