【Shiro】7、Shiro实现控制用户并发登录并踢人下线

已于 2022-03-30 21:05:25 修改
阅读量10w+ 收藏 19
点赞数 4
分类专栏: # Shiro系列 文章标签: java springboot shiro 并发登录 踢人下线
于 2021-05-22 22:03:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40065776/article/details/117172280
版权

在传统的项目中,同一账户是允许多人同时登录在线的,有的使用场景恰恰是不允许多人同时在线的,那么我们可以通过 Shiro 来控制并发登录,并实现后登录的用户,挤掉前面登录的用户

  • 1、并发登录过滤器
package com.asurplus.common.shiro;

import com.asurplus.system.entity.SysUserInfo;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.cache.Cache;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.DefaultSessionKey;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.AccessControlFilter;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import java.io.Serializable;
import java.util.Deque;
import java.util.LinkedList;

/**
 * 同一用户登录后踢出前面的用户
 */
public class KickoutSessionFilter extends AccessControlFilter {

    /**
     * 踢出后到的地址
     */
    private String kickoutUrl;

    /**
     * 踢出之前登录的/之后登录的用户 默认踢出之前登录的用户
     */
    private boolean kickoutAfter = false;

    /**
     * 同一个帐号最大会话数 默认1
     */
    private int maxSession = 1;

    /**
     * session管理器
     */
    private SessionManager sessionManager;

    /**
     * 缓存管理器
     */
    private Cache<String, Deque<Serializable>> cache;

    public void setKickoutUrl(String kickoutUrl) {
        this.kickoutUrl = kickoutUrl;
    }

    public void setKickoutAfter(boolean kickoutAfter) {
        this.kickoutAfter = kickoutAfter;
    }

    public void setMaxSession(int maxSession) {
        this.maxSession = maxSession;
    }

    public void setSessionManager(SessionManager sessionManager) {
        this.sessionManager = sessionManager;
    }

    public void setCacheManager(CacheManager cacheManager) {
        this.cache = cacheManager.getCache("kickoutSession");
    }

    /**
     * 是否允许访问
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        Subject subject = getSubject(request, response);
        if (!subject.isAuthenticated() && !subject.isRemembered()) {
            // 如果没有登录,直接进行之后的流程
            return true;
        }

        Session session = subject.getSession();
        SysUserInfo object = (SysUserInfo) SecurityUtils.getSubject().getPrincipal();
        Serializable sessionId = session.getId();

        // 同步控制
        Deque<Serializable> deque = cache.get(object.getAccount());
        if (deque == null) {
            deque = new LinkedList<Serializable>();
            cache.put(object.getAccount(), deque);
        }

        // 如果队列里没有此sessionId,且用户没有被踢出;放入队列
        if (!deque.contains(sessionId) && session.getAttribute("kickout") == null) {
            deque.push(sessionId);
        }

        // 如果队列里的sessionId数超出最大会话数,开始踢人
        while (deque.size() > maxSession) {
            Serializable kickoutSessionId = null;
            // 如果踢出后者
            if (kickoutAfter) {
                kickoutSessionId = deque.removeFirst();
            }
            // 否则踢出前者
            else {
                kickoutSessionId = deque.removeLast();
            }
            try {
                Session kickoutSession = sessionManager.getSession(new DefaultSessionKey(kickoutSessionId));
                if (kickoutSession != null) {
                    // 设置会话的kickout属性表示踢出了
                    kickoutSession.setAttribute("kickout", true);
                }
            } catch (Exception e) {
                e.printStackTrace();
            }
        }

        // 如果被踢出了,直接退出,重定向到踢出后的地址
        if (session.getAttribute("kickout") != null) {
            // 会话被踢出了
            try {
                subject.logout();
            } catch (Exception e) {
                e.printStackTrace();
            }
            saveRequest(request);

            HttpServletRequest httpRequest = WebUtils.toHttp(request);
            // 如果是ajax请求
            if (isAjax(httpRequest)) {
                HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
                // 使得http会话过期
                httpServletResponse.sendError(0);
                return false;
            } else {
                WebUtils.issueRedirect(request, response, kickoutUrl);
                return false;
            }
        }
        return true;
    }

    /**
     * 判断是否为ajax请求
     *
     * @param request
     * @return boolean对象
     */
    public static boolean isAjax(ServletRequest request) {
        return "XMLHttpRequest".equalsIgnoreCase(((HttpServletRequest) request).getHeader("X-Requested-With"));
    }
}

这里我们使用了 ehcache,我们需要在 shiro-ehcache.xml 配置文件中,加一个存储对象,如下:

<!-- 并发登录控制 -->
    <cache name="kickoutSession" maxElementsInMemory="10000" eternal="false" timeToIdleSeconds="120"
           timeToLiveSeconds="120" maxElementsOnDisk="10000000" overflowToDisk="true" memoryStoreEvictionPolicy="LRU"/>
  • 2、注册过滤器
/**
* 并发登录控制
*
* @return
*/
@Bean
public KickoutSessionFilter kickoutSessionControlFilter() {
   KickoutSessionFilter kickoutSessionControlFilter = new KickoutSessionFilter();
   // 用于根据会话ID,获取会话进行踢出操作的;
   kickoutSessionControlFilter.setSessionManager(sessionManager());
   // 使用cacheManager获取相应的cache来缓存用户登录的会话;用于保存用户—会话之间的关系的;
   kickoutSessionControlFilter.setCacheManager(ehCacheManager());
   // 是否踢出后来登录的,默认是false;即后者登录的用户踢出前者登录的用户;
   kickoutSessionControlFilter.setKickoutAfter(false);
   // 同一个用户最大的会话数,默认1;比如2的意思是同一个用户允许最多同时两个人登录;
   kickoutSessionControlFilter.setMaxSession(1);
   // 被踢出后重定向到的地址;
   kickoutSessionControlFilter.setKickoutUrl("/login?kickout=1");
   return kickoutSessionControlFilter;
}

其中用到的 session 管理器,和 ehcache 管理器在之前的博客中都有讲到,本次不再赘述

我们将踢出的用户重定向到登录界面,并携带参数 kickout

  • 3、注入自定义过滤器
/**
 * 地址过滤器
 *
 * @param securityManager
 * @return
 */
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    // 设置securityManager
    shiroFilterFactoryBean.setSecurityManager(securityManager);
    // 设置登录url
    shiroFilterFactoryBean.setLoginUrl("/login");
    // 设置主页url
    shiroFilterFactoryBean.setSuccessUrl("/");
    // 设置未授权的url
    shiroFilterFactoryBean.setUnauthorizedUrl("/403");
    // 自定义拦截器限制并发人数
    LinkedHashMap<String, Filter> filtersMap = new LinkedHashMap<>();
    // 限制同一帐号同时在线的个数
    filtersMap.put("kickout", kickoutSessionControlFilter());
    shiroFilterFactoryBean.setFilters(filtersMap);
    Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
    // 注销登录
    filterChainDefinitionMap.put("/loginOut", "logout");
    // 开放登录接口
    filterChainDefinitionMap.put("/doLogin", "anon");
    // 开放获取登录验证码接口
    filterChainDefinitionMap.put("/kaptcha/**", "anon");
    // 开放Api接口
    filterChainDefinitionMap.put("/api/**", "anon");
    // 开放微信接口
    filterChainDefinitionMap.put("/weixin/**", "anon");
    // 开放websocket接口
    filterChainDefinitionMap.put("/websocket/**", "anon");
    // 开放接口文档
    filterChainDefinitionMap.put("/doc.html", "anon");
    filterChainDefinitionMap.put("/service-worker.js", "anon");
    filterChainDefinitionMap.put("/swagger-resources/**", "anon");
    filterChainDefinitionMap.put("/webjars/**", "anon");
    filterChainDefinitionMap.put("/v2/**", "anon");
    // 开放静态资源
    filterChainDefinitionMap.put("/css/**", "anon");
    filterChainDefinitionMap.put("/img/**", "anon");
    filterChainDefinitionMap.put("/js/**", "anon");
    filterChainDefinitionMap.put("/layui/**", "anon");
    filterChainDefinitionMap.put("/layuimini/**", "anon");
    filterChainDefinitionMap.put("/module/**", "anon");
    filterChainDefinitionMap.put("/upload/**", "anon");
    // 其余url全部拦截,必须放在最后
    filterChainDefinitionMap.put("/**", "kickout,user");
    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
    return shiroFilterFactoryBean;
}

我们在 ShiroFilterFactoryBean 对象中注入了自定义过滤器,并在最后的地址拦截规则中增加了 kickout,即使我们开启了记住登录功能,该用户也会被踢下线

  • 4、提示信息

我们在登录页面中,需要获取地址中是否有 kickout 参数

// 是否被挤下线
if(location.href.indexOf("kickout") > 0){
    setTimeout(function () {
        layNotify.notice({
            title: "登录提示",
            type: "error",
            message: '您的账户已在另一台设备上登录,如非本人操作,请立即修改密码!'
        });
    }, 1000)
}

这样后面登录的用户就会挤掉前面登录用户,导致前面登录的用户被踢下线了

如您在阅读中发现不足,欢迎留言!!!

Asurplus
关注
  • 4
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 10
    评论
专栏目录
Spring Security 强制退出指定用户的方法
08-27
本篇文章主要介绍了Spring Security 强制退出指定用户的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
shiro同一用户后登陆出前面的用户
qq_40543150的博客
01-24 3252
直接上代码 下面就是我实现的访问控制拦截器:KickoutSessionControlFilter: public class KickoutSessionControlFilter extends AccessControlFilter { private static Logger logger = LoggerFactory.getLogger(KickoutSessionContro...
springboot2+shiro+redis限制同一账号同时在线人数
最新发布
小灰灰的博客
07-17 1033
springboot2+shiro+redis限制同一账号同时在线人数
Springboot+shiro+redis 限制同一账号 同时在多处登录
weixin_30613433的博客
08-13 1565
这里的业务场景,就类似与qq 账号 不能同时在多部手机 登录一样,后者会强制前者下线,被强制下线用户重新登录又挤掉 前者,如此反复..... 一. 说下我的思路 (不供参考) 1. 利用Cookie 里面的JESSIONID ,其实也就是sessionid,是可以获取到的 2.利用 Deque 双向队列,最大 maxSize 设置为1 3.利用redis...
shiro实现用户出功能
weixin_34023863的博客
01-05 2194
title: shiro实现用户出功能 tags: reids shiro Kickout categories: 工作日志 date: 2017-05-25 18:18:56 貌似现在javaweb界大部分还是知道开涛的大名的,许多人的springmvc,spring,shiro等的入门教程就是从开涛的博客开始的。 Shiro的单用户登录功能也是从开涛的博客代码参考过来的,第十八章 并...
shiro实现用户出,在线用户列表展示功能,包含常见踩坑集合、代码下载
风团团
01-25 1004
功能描述:用户a登录了s账号,接着用户b也登录了s账号,此时用户a将被出。一个账号只能一个人登录,被别人登录了,那么你就要被下线shiro认证与授权理解 用户登录的时候只执行认证方法而没有马上去执行授权doGetAuthorizationInfo()方法。 shiro并不是在认证之后就马上对用户授权,而是在用户认证通过之后,接下来要访问的资源或者目标方法需要权限的时候才会调用doGetAuthorizationInfo()方法,进行授权. 比如当认证通过后,访问@RequiresPermis.
springboot+shiro自定义拦截器互问题
ldcaws的专栏
11-24 1446
shiro自定义拦截器继承AccessControllerFilter实现session互机制。 应用场景: 我们经常会有用到,当A 用户在北京登录 ,然后A用户在天津再登录 ,要出北京登录的状态。如果用户在北京重新登录,那么又要出天津的用户,这样反复。又或是需要限制同一用户的同时在线数量,超出限制后,出最先登录的或是出最后登录的。 分析: spring security就直接提供了相应的功能;Shiro的话没有提供默认实现,不过可以很容易的在Shiro中加入这个功能。那就是使用shiro强大的
【使用shiro实现账户只能在一个地方登录,异地登陆挤下线
weixin_46801673的博客
04-13 633
使用shiro实现账户只能在一个地方登录,异地登陆把旧帐户挤下线
spring boot + shiro 实现登陆 用户功能 (挤人) 以及UnknownSessionException异常问题 记住我功能
AmbroseLe
12-23 7771
简介:用户功能:就是限制一个账号登陆人数。 本文限定一个账号一个用户登陆,并且是挤掉前一个用户 目录 首先 pom 然后Shiro配置Bean ShiroConfigBean 然后配置 ShiroRealm(百度翻译: Realm 领域) 然后sessiondao SessionDAO 然后 配置人(挤人)逻辑 Kicko...
Shiro之手动用户-yellwcong
12-21 6838
用户登录后,可以通过管理员的帐号,剔除登录的一些用户实现的思路:1、通过用户的Id删除存在数据库里面的Session;2、根据sessionid来删除存在与Ecache中的缓存数据, 完成以上两部,就可以完成手动剔除登录用户了,当使用的缓存方式不一样,操作的方式也会有所差别,但步骤差不多 前提概要我这个处理的时候,使用的是数据库进行用户Session的管理,来存储session,最好先看一下前
SpringBootShiro整合-权限管理实战源码.zip
05-22
SpringBootShiro整合-权限管理实战源码
监听器显示登陆用户列表,并实现人功能
11-24
监听器显示登陆用户列表,并实现人功能 HttpSessionAttributeListener
Shiro 控制并发登录人数限制及登录出的实现代码
08-29
本文通过shiro实现一个账号只能同时一个人使用,本文重点给大家分享Shiro 控制并发登录人数限制及登录出的实现代码,需要的朋友参考下吧
shiro并发人数登录控制实现代码
08-29
在做项目中遇到这样的需求要求每个账户同时只能有一个人登录或几个人同时登录,如果是同时登录的多人,要么不让后者登录,要么出前者登录,怎么...下面小编给大家带来了shiro并发人数登录控制实现代码,一起看看吧
Springboot+Shiro记录用户登录信息并获取当前登录用户信息的实现代码
08-19
主要介绍了Springboot+Shiro记录用户登录信息,并获取当前登录用户信息,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot 并发登录人数控制实现方法
08-25
主要介绍了SpringBoot 并发登录人数控制实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
主要介绍了spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制,需要的朋友可以参考下
Shiro】2、Shiro实现Session会话过期时间控制
热门推荐
Asurplus
05-22 20万+
一般我们的 session 过期时间默认为 30 分钟,有的用户认为 30 分钟太短了,有时候临时有事出去了,回来已经过期了,工作还没完成就只能登出了,非常不方便,于是要求我们改变 session 的过期时间 1、指定本系统 sessionid /** * 指定本系统sessionid, 问题: 与servlet容器名冲突, 如jetty, tomcat 等默认jsessionid, * 当跳出shiro servlet时如error-page容器会为jsessionid重新分配值导致登录会话丢失!
shiro实现用户一个账号登录下线功能
03-02
shiro框架可以通过使用session来实现用户登录下线功能。当用户登录成功后,shiro会为该用户创建一个session,并将session的ID存储在cookie中。当用户再次尝试登录时,可以先检查该用户是否已经有一个session,如果有,则可以通过设置该session的状态为无效来实现下线功能。具体实现可以参考shiro框架的文档或者相关的教程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Asurplus

学如逆水行舟,不进则退

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值