微人事-session并发问题-踢掉已登录的用户(2)

最新推荐文章于 2022-03-11 14:38:08 发布
最新推荐文章于 2022-03-11 14:38:08 发布
阅读量408 收藏 1
点赞数
分类专栏: springboot spring security 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35644307/article/details/114869490
版权
前言

上一节,了解spring security如何处理session并发。
今天将在微人事项目里处理session并发问题,实现踢掉已登录的用户。

分析

(1)获取session集合通过sessionRegistry对象

	final List<SessionInformation> sessions = sessionRegistry.getAllSessions(
				authentication.getPrincipal(), false);

(2)通过阅读源码,sessionRegistry是一个接口,只有一个实现类SessionRegistryImpl,Spring Security中通过SessionRegistryImpl类来实现对会话信息的统一管理

public class SessionRegistryImpl implements SessionRegistry,
  ApplicationListener<SessionDestroyedEvent> {
 /** <principal:Object,SessionIdSet> */
 private final ConcurrentMap<Object, Set<String>> principals;
 /** <sessionId:Object,SessionInformation> */
 private final Map<String, SessionInformation> sessionIds;
 public void registerNewSession(String sessionId, Object principal) {
  if (getSessionInformation(sessionId) != null) {
   removeSessionInformation(sessionId);
  }
  sessionIds.put(sessionId,
    new SessionInformation(principal, sessionId, new Date()));

  principals.compute(principal, (key, sessionsUsedByPrincipal) -> {
   if (sessionsUsedByPrincipal == null) {
    sessionsUsedByPrincipal = new CopyOnWriteArraySet<>();
   }
   sessionsUsedByPrincipal.add(sessionId);
   return sessionsUsedByPrincipal;
  });
 }
 public void removeSessionInformation(String sessionId) {
  SessionInformation info = getSessionInformation(sessionId);
  if (info == null) {
   return;
  }
  sessionIds.remove(sessionId);
  principals.computeIfPresent(info.getPrincipal(), (key, sessionsUsedByPrincipal) -> {
   sessionsUsedByPrincipal.remove(sessionId);
   if (sessionsUsedByPrincipal.isEmpty()) {
    sessionsUsedByPrincipal = null;
   }
   return sessionsUsedByPrincipal;
  });
 }

}
  1. 首先大家看到,一上来声明了一个Principals对象,这是一个支持并发访问的map集合,集合的key就是用户的参与者(principal),正常来说,用户的Principal其实就是用户对象,而集合的值则是一个set集合,这个set集合中保存了这个用户对应的sessionid。
  2. 如有新的会话需要添加,就在registerNewSession方法中进行添加,具体是调用principles.compute方法进行添加,key就是principal。
    3.如果用户初始化登录,sessionid需要删除,相关操作在removeSessionInformation方法中完成

看到这里,大家发现一个问题,ConcurrentMap集合的键是主体对象,用对象做键,一定要重写等于方法和hashCode方法,否则第一次存完数据,下次就找不到了,这是JavaSE方面的知识参考
参考: 为啥重写equals 方法和 hashCode 方法

实现

(1)微人事里我们用自定义的过滤器代替了UsernamePasswordAuthenticationFilter,导致前面所讲的关于session的配置,统统中断。所有相关的配置我们都要在新的过滤器LoginFilter中进行配置,包括SessionAuthenticationStrategy也需要我们自己手动配置了。
首先第一步,我们重写Hr类的equals和hashCode方法

public class Hr implements UserDetails {
    ...
    ...
    @Override
    public boolean equals(Object o) {
        if (this == o) return true;
        if (o == null || getClass() != o.getClass()) return false;
        Hr hr = (Hr) o;
        return Objects.equals(username, hr.username);
    }

    @Override
    public int hashCode() {
        return Objects.hash(username);
    }
    ...
    ...
}

(2)接下来在SecurityConfig中进行配置
这里我们要自己提供SessionAuthenticationStrategy,而前面处理会话并发的是ConcurrentSessionControlAuthenticationStrategy,则,我们需要自己提供一个ConcurrentSessionControlAuthenticationStrategy的实例,然后配置给LoginFilter,但是在创建ConcurrentSessionControlAuthenticationStrategy实例的过程中,还需要有一个SessionRegistryImpl对象。

@Bean
SessionRegistryImpl sessionRegistry() {
    return new SessionRegistryImpl();
}
``
然后在LoginFilter中配置SessionAuthenticationStrategy
```java
@Bean
LoginFilter loginFilter() throws Exception {
    LoginFilter loginFilter = new LoginFilter();
    loginFilter.setAuthenticationSuccessHandler((request, response, authentication) -> {
                //省略
            }
    );
    loginFilter.setAuthenticationFailureHandler((request, response, exception) -> {
                //省略
            }
    );
    loginFilter.setAuthenticationManager(authenticationManagerBean());
    loginFilter.setFilterProcessesUrl("/doLogin");
    ConcurrentSessionControlAuthenticationStrategy sessionStrategy = new ConcurrentSessionControlAuthenticationStrategy(sessionRegistry());
    sessionStrategy.setMaximumSessions(1);
    //调用的是AbstractAuthenticationProcessingFilter#setSessionAuthenticationStrategy方法
    loginFilter.setSessionAuthenticationStrategy(sessionStrategy);
    return loginFilter;
}

会话配置还有了一个关键的过滤器叫做ConcurrentSessionFilter,本来这个过滤器是不需要我们管的,但是这个过滤器中也用到了SessionRegistryImpl,而SessionRegistryImpl现在是由我们自己来定义的,所以,该过滤器我们也要重新配置一下,如下:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            ...
    http.addFilterAt(new ConcurrentSessionFilter(sessionRegistry(), event -> {
        HttpServletResponse resp = event.getResponse();
        resp.setContentType("application/json;charset=utf-8");
        resp.setStatus(401);
        PrintWriter out = resp.getWriter();
        out.write(new ObjectMapper().writeValueAsString(RespBean.error("您已在另一台设备登录,本次登录已下线!")));
        out.flush();
        out.close();
    }), ConcurrentSessionFilter.class);
    http.addFilterAt(loginFilter(), UsernamePasswordAuthenticationFilter.class);
}

在这里,我们重新创建一个ConcurrentSessionFilter的实例,代替系统替换的即可。在创建的新的ConcurrentSessionFilter实例时,需要两个参数:

  1. sessionRegistry就是我们前面提供的SessionRegistryImpl实例。
  2. 第二个参数,是一个处理会话过期后的额外函数,相应的,当用户被另外一个登录踢下线之后,你要给某种的下线提示,就在这里来完成。

(3)最后,我们还需要在处理完登录数据之后,手动向SessionRegistryImpl中添加一条记录:

public class LoginFilter extends UsernamePasswordAuthenticationFilter {
    @Autowired
    SessionRegistry sessionRegistry;
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        //省略
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
                    username, password);
            setDetails(request, authRequest);
            Hr principal = new Hr();
            principal.setUsername(username);
            //注册session
            sessionRegistry.registerNewSession(request.getSession(true).getId(), principal);
            return this.getAuthenticationManager().authenticate(authRequest);
        } 
        ...
        ...
    }
}
到此我们的session并发功能就实现了
一个还没工作的研究僧
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实现单用户登陆session先进先出(session踢出)
SpringJava的博客
04-29 1083
首先在系统增加sessionListener 来监听session 并做并做session保存 创建Class OnlineUserListener implements HttpSessionListener implements HttpSessionListener  需要实现两个方法: 一个是  sessionCreated  session的创建事件; 一个是sessionDestr...
SpringBoot整合SpringSecurity,SESSION 并发管理,同账号只允许登录一次
weixin_30335575的博客
06-02 1047
重写了UsernamePasswordAuthenticationFilter,里面继承AbstractAuthenticationProcessingFilter,这个类里面的session认证策略,是一个空方法,貌似RememberMe也是. public abstract class AbstractAuthenticationProcessingFilter extend...
人事-session并发问题-踢掉登录用户(1)
一个还在上学的程序缘
03-16 370
前言 spring security的登录逻辑是在UsernamePasswordAuthenticationFilter#attemptAuthentication方法中实现的,但是attemptAuthentication的调用者却是UsernamePasswordAuthenticationFilter的父类AbstractAuthenticationProcessingFilter间接调用的,源码如下 public void doFilter(ServletRequest req, ServletR
session登录控制 后一个踢掉前一个
Wormhole
01-23 3880
最近实现项目中的用户重复登录控制,即新用户登录使前一个登录用户强制下线 ,思路是这样的,在前台主页面写一个程序定时向后台发送请求获取后台信息来判断session是否失效,若失效强制下线。 (SSM框架为例) 一 Controller层 1. 定义两个全局MAP 来存放用户登录帐号(userId),sessionsessionId //userid,session publ
session用户账号认证(一个用户登陆,踢出前一个用户
weixin_30865427的博客
11-04 147
在web.xml中配置: <listener> <listener-class>cn.edu.hbcf.common.listener.SessionAttributeListener</listener-class> </listener> 然后写一个实体类: package cn.edu.hbcf.comm...
tomcat-redis-session-manager
06-06
在Web应用开发中,session管理是不可或缺的一部分,它用于存储用户状态信息,确保用户在不同页面间保持登录状态。然而,随着分布式系统的普及,单个服务器的session管理已无法满足需求。这时,我们需要将session数据...
spring-redis-session 自定义 key 和过期时间
08-25
<artifactId>spring-session-data-redis 然后,我们需要在 application.properties 文件中配置 Redis 连接信息,例如: spring.redis.host=localhost 结论 Spring-Redis-Session 提供了一个灵活的会话管理机制...
redis-session-manager-redis-session-manager-2.2.0.zip
最新发布
06-02
在Web应用中,session是服务器端用来跟踪用户状态的重要机制,通常将用户信息如登录状态、购物车数据等存储在session中。而Redis,作为一个高性能的键值存储系统,因其内存存储特性,成为了理想的选择来缓存和管理...
spring-session+spring依赖jar包
11-06
spring-session+spring依赖jar包,包含spring4.0.2.RELEASE相关jar包和commons-pool2-2.4.2.jar,jedis-2.7.3.jar,spring-data-redis-1.6.2.RELEASE.jar,spring-session-1.1.1.RELEASE.jar
redis-session-manager-redis-session-manager-2.0.8.zip
06-02
描述中的"redis-session-manager-tar.gz-windows 各个版本,免费下载"表明这个项目不仅提供了ZIP格式,还有可能有适用于Windows操作系统的tar.gz格式,这意味着它支持跨平台使用,并且用户可以免费获取各个版本。...
Java使用HttpSessionListener同一账号登录人数限制,踢出功能
艾码人生
03-21 3299
前言:参考:http://blog.csdn.net/liuyuan185442111/article/details/45422779如有疑问可进行留言,我会抽空回复1.因为公司的项目提出需求,要求系统用户同一账号登录session次数为3个,超出将踢出第一个用户,开始考虑到了shiro、security这两种安全框架,百度了一堆乱代码无法解决我的需求,由于时间有限和本身对这两种框架不是太熟练...
java 登录踢出_spring security 4 如何踢出用户
weixin_39561577的博客
02-26 267
项目用的是spring boot 1.3 全javaconfig 配置目的 :我要踢出一个登录在线的用户,踢出后,剔出的用户再次访问服务器的时候会去到登录界面,security 配置 :http.authorizeRequests().antMatchers("/app/views/assets/**", "/app/apk/**", "/assets/**", "/view/**").permi...
spring security(七) session 并发,一个用户在线后其他的设备登录用户失败
热门推荐
哎幽的成长
08-23 1万+
这又是 一片 关于security 的文章,用于解决 session 并发问题 ,同时只有一个用户,在线。 有一个用户在线后其他的设备登录用户失败。本文代码,是基于 springboot+security restful权限控制官方推荐(五) 的代码未完待续。。。。只是先把代码粘出来,然后再做修改1. 修改security配置修改 WebSecurityConfig 文件 添加 SessionR
【Springf Security】入门篇-设置session超时和阻止并发登录
qq_42980244的博客
08-19 994
如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 设置session超时时间 server: servlet: session: timeout: 60 #设置超时时间60s 设置session超时之后跳转 http.sessionManagement().invalidSessionUrl("/session/invalid") controller上加个方法,url对应/session/invalid 测试如下: 2.同一
springsecurity使用自定义登录过滤器实现并发session
woshihedayu的博客
03-11 1004
springsecurity中的相关配置如下 @Override protected void configure(HttpSecurity http) throws Exception { http.exceptionHandling() .authenticationEntryPoint(new UnauthorizedEntryPoint()) .and().csrf().disable() .authorizeReque
springsecurity session并发问题
qq_34886599的博客
07-17 847
首先,先介绍一下登录互顶流程。 假设a账户在1处登录成功,此时,springsecurity将sessionId和用户信息封装成sessionInfomation保存到 SessionRegistry对象中, 然后a账户又在2处登录,此时会从sessionRegistry对象中获取所有sessionInfomation,并判断有没有与当前用户名一样的sessionInfomation,若有,就...
SpringSecurity - 学习笔记 - 会话管理之并发控制:同一账号只允许在一个设备登录
灵台方寸山斜月三星洞
01-18 1883
SpringSecurity - 学习笔记 - 会话管理之并发控制:同一账号只允许在一个设备登录场景需求分析配置`web.xml``application-security.xml`参考消息 场景 接手一个老项目: 先上pom.xml ...略 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifactId>
spring security3教程系列--如何踢出用户
pan-zy的专栏
09-18 921
本文章摘编、转载需要注明来源 http://write.blog.csdn.net/postedit/8572467   对于spring security我个人是比较喜欢的一个安全框架,我们的系统中一般需要提供强制将用户踢出的功能,这个功能security也有提供, 首先我们要操作需要获取sessionRegistry中认证用户的所有SessionInformation,然后逐个
spring security的session管理
qq_36500178的博客
01-24 9980
1 spring security的session管理 spring security关于认证session的逻辑处理在接口SessionAuthenticationStrategy的onAuthentication方法中,先看看这个接口和其实现类。 1.1 SessionAuthenticationStrategy接口 public interface SessionAuthenticationStrategy { /** * 当一个认证生成之后处理sessio
wsl2 ubuntu gnome-session
09-04
在WSL2中运行Ubuntu并使用Gnome会话,您需要遵循以下步骤: 1. 首先,确保已安装并启用了WSL2和Ubuntu。您可以在Microsoft Store中安装适用于Windows 10的WSL2,然后从Microsoft Store安装Ubuntu。 2. 运行Ubuntu并完成初始设置。 3. 打开终端并运行以下命令,以更新系统的软件包列表: ``` sudo apt update ``` 4. 安装Gnome桌面环境和Gnome会话管理器(gnome-session): ``` sudo apt install gnome-session ``` 5. 安装VcXsrv或Xming等X服务器软件,以便在Windows中显示Linux图形应用程序。您可以从它们的官方网站下载并安装。 6. 在Windows中启动X服务器软件。 7. 在Ubuntu终端中设置DISPLAY变量以将图形应用程序重定向到X服务器。假设您的X服务器IP地址为127.0.0.1,运行以下命令: ``` export DISPLAY=127.0.0.1:0 ``` 8. 最后,在终端中运行以下命令以启动Gnome会话: ``` gnome-session ``` 这将启动Gnome桌面环境,并在X服务器上显示它。 请注意,WSL2并不直接支持图形应用程序,这些步骤是通过X服务器在Windows中显示Linux图形界面的一种解决方案。因此,性能可能不如在本机Linux环境中运行Gnome会话。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值