shiro同一用户后登陆踢出前面的用户

最新推荐文章于 2021-02-25 21:51:16 发布
最新推荐文章于 2021-02-25 21:51:16 发布
阅读量3.3k 收藏 10
点赞数 4
文章标签: 管理在线用户
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40543150/article/details/86627365
版权

直接上代码
下面就是我实现的访问控制拦截器:KickoutSessionControlFilter:

public class KickoutSessionControlFilter extends AccessControlFilter {
	
	private static Logger logger = LoggerFactory.getLogger(KickoutSessionControlFilter.class);

    private String kickoutUrl; //踢出后到的地址
    private boolean kickoutAfter = false; //踢出之前登录的/之后登录的用户 默认踢出之前登录的用户
    private int maxSession = 1; //同一个帐号最大会话数 默认1

    private SessionManager sessionManager;
    private Cache<String, Deque<Serializable>> cache;

    public void setKickoutUrl(String kickoutUrl) {
        this.kickoutUrl = kickoutUrl;
    }

    public void setKickoutAfter(boolean kickoutAfter) {
        this.kickoutAfter = kickoutAfter;
    }

    public void setMaxSession(int maxSession) {
        this.maxSession = maxSession;
    }

    public void setSessionManager(SessionManager sessionManager) {
        this.sessionManager = sessionManager;
    }

    public void setCacheManager(CacheManager cacheManager) {
        this.cache = cacheManager.getCache("shiro-kickout-session");
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        Subject subject = getSubject(request, response);
        if(!subject.isAuthenticated() && !subject.isRemembered()) {
            //如果没有登录,直接进行之后的流程
            return true;
        }

        Session session = subject.getSession();
        ShiroUser user = (ShiroUser) subject.getPrincipal();
        String username = user.getUserName();
        Serializable sessionId = session.getId();

        //读取缓存   没有就存入
        Deque<Serializable> deque = cache.get(username);
        if(deque == null) {
            deque = new LinkedList<Serializable>();
            cache.put(username, deque);
        }

        //如果队列里没有此sessionId,且用户没有被踢出;放入队列
        if(!deque.contains(sessionId) && session.getAttribute("kickout") == null) {
            deque.push(sessionId);
        }

        //如果队列里的sessionId数超出最大会话数,开始踢人
        while(deque.size() > maxSession) {
            Serializable kickoutSessionId = null;
            if(kickoutAfter) { //如果踢出后者
                kickoutSessionId = deque.removeFirst();
            } else { //否则踢出前者
                kickoutSessionId = deque.removeLast();
            }
            try {
                Session kickoutSession = sessionManager.getSession(new DefaultSessionKey(kickoutSessionId));
                if(kickoutSession != null) {
                    //设置会话的kickout属性表示踢出了
                    kickoutSession.setAttribute("kickout", true);
                }
            } catch (Exception e) {//ignore exception
            	e.printStackTrace();
            }
        }

        //如果被踢出了,直接退出,重定向到踢出后的地址
        if (session.getAttribute("kickout") != null) {
            //会话被踢出了
            try {
                subject.logout();
            } catch (Exception e) { //ignore
            }
            saveRequest(request);
            
            HttpServletRequest httpRequest = WebUtils.toHttp(request);
            if (com.frame.utils.WebUtils.isAjax(httpRequest)) {
            	logger.debug("当前用户已经在其他地方登录,并且是Ajax请求!");
                HttpServletResponse httpServletResponse = WebUtils.toHttp(response);  
                // 向http头添加 状态 sessionstatus
                httpServletResponse.setHeader("sessionstatus", "kickout");
                // 向http头添加登录的url
                httpServletResponse.addHeader("loginPath", kickoutUrl);
//                httpServletResponse.sendError(ShiroFilterUtils.HTTP_STATUS_SESSION_EXPIRE);
                return false;
            } else {
            	request.setAttribute("user_status", "300");
            	request.setAttribute("message", "您已经在其他地方登录,请重新登录!");
            	request.getRequestDispatcher(kickoutUrl).forward(request, response);
                return false;
            }
        }

        return true;
    }
    
}

如果是springMVC+shiro就将这个自定义的拦截器配置在shiro.xml文件中:

<bean id="kickoutSessionControlFilter" class="com.platform.shiro.KickoutSessionControlFilter">
		<property name="cacheManager" ref="shiroEhcacheManager" />
		<property name="sessionManager" ref="sessionManager" />
		<!-- 是否踢出后来登录的,默认是false;即后者登录的用户踢出前者登录的用户 -->
		<property name="kickoutAfter" value="false" />
		<!-- 同一个用户最大的会话数,默认1;比如2的意思是同一个用户允许最多同时两个人登录 -->
		<property name="maxSession" value="1" />
		<property name="kickoutUrl" value="/login" />
</bean>

是springboot+shiro拦截器配置在ShiroConfig.java文件中:

/**
  * 限制同一账号登录同时登录人数控制
  * @return
  */
 public KickoutSessionControlFilter kickoutSessionControlFilter(){
    KickoutSessionControlFilter kickoutSessionControlFilter = new KickoutSessionControlFilter();
    //使用cacheManager获取相应的cache来缓存用户登录的会话;用于保存用户—会话之间的关系的;
    //这里我们还是用之前shiro使用的redisManager()实现的cacheManager()缓存管理
    //也可以重新另写一个,重新配置缓存时间之类的自定义缓存属性
    kickoutSessionControlFilter.setCacheManager(cacheManager());
    //用于根据会话ID,获取会话进行踢出操作的;
    kickoutSessionControlFilter.setSessionManager(sessionManager());
    //是否踢出后来登录的,默认是false;即后者登录的用户踢出前者登录的用户;踢出顺序。
    kickoutSessionControlFilter.setKickoutAfter(false);
    //同一个用户最大的会话数,默认1;比如2的意思是同一个用户允许最多同时两个人登录;
    kickoutSessionControlFilter.setMaxSession(1);
    //被踢出后重定向到的地址;
    kickoutSessionControlFilter.setKickoutUrl("/kickout");
     return kickoutSessionControlFilter;
  }

在将这个kickoutSessionControlFilter()注入到shiroFilterFactoryBean中:

//自定义拦截器
Map<String, Filter> filtersMap = new LinkedHashMap<String, Filter>();
//限制同一帐号同时在线的个数。
filtersMap.put("kickout", kickoutSessionControlFilter());
shiroFilterFactoryBean.setFilters(filtersMap);
qqlxin
关注
Spring Boot + Shiro 实现 Session 持久化实现思路及遗留问题
DN金猿的博客
07-23 264
从这个角度而言,我们可以通过 Session 监听器监听 Session 创建销毁,属性变更,并将所有创建的SessionId 存储起来,当要踢出某个用户时,用户的Request请求到来时判断Request中SessionId是否一致,一致的话令Session失效,从而实现这个功能!6、上图显示,我们可以拿到所有获得的session,并且内部用户信息无误,此时我们只需要将上述代码中的(1)、(2)打开在完全遵守Shiro的应用规则下理应可以删除对应用户!在用户基础服务中,需要实现删除用户功能。
Java面试考核题
weixin_47089371的博客
05-28 554
1.1Java基础 1.集合有哪些?数据结构?初始长度?扩容机制?哪些是线程安全的? hashmap的底层原理? 集合类型主要有3种:set(集)、list(列表)和map(映射)。 1、List(有序、可重复) List里存放的对象是有序的,同时也是可以重复的,List关注的是索引,拥有一系列和索引相关的方法,查询速度快。因为往list集合里插入或删除数据时,会伴随着后面数据的移动,所有插入删除数据速度慢。 2、Set(无序、不能重复) Set里存放的对象是无序,不能重复的,集合中的对象.
关于shiro同一帐号同一时刻多处登录问题
henry_chatter的博客
12-08 6850
这段时间做项目遇到一个关于shiro登录的问题。同一帐号不能同时登录,如果同时登录的话前面一个人的session就失效。百转千回,因为shiro登录到权限控制没有任何问题,就把问题点转移到存储端。去检查redis,检查reids的配置相关,结果也没发现什么毛病。后来在网上查阅文章,多看了看shiro相关的东西。问题锁定在shiro控制同一用户不能在同一时刻多处登录,然后修改程序: 1.s
shiro获取session用户_Shiro用户登录,清理之前登录用户
weixin_36436373的博客
02-04 877
在自定义的realm中的doGetAuthenticationInfo方法中定义,根据传入参数类型的不同选择对应的处理方法/*** new SimpleAuthenticationInfo(user, pwd, this.getName())中的第一个参数是SysUser对象,* 在其他接收的地方也要转成SysUser对象,使用对象这里对应的处理方式是采用方法一,* 如果是传递的use...
Shiro用户登录,清理之前登录用户
gaygay741的博客
07-23 631
参考文档 https://blog.csdn.net/weixin_41485592/article/details/80655341 https://blog.51cto.com/1197822/2324201
java 单个用户的多重并发会话_java做单用户的多重并发会话数限制
weixin_39929635的博客
02-16 214
判定条件很简单,就是在同一时刻,同一帐号仅在一个终端上可正常操作。我这里用简单的key,value进行判定,将用户存储在map里面,新登录用户登陆进系统后,判断map里是否存在当前用户,若存在就删除,将新登录用户的session信息存入map里,这样前面登录用户就会退出系统。继承HttpSessionListener,HttpSessionAttributeListener类1、先需要配置项目下的...
spring boot + shiro 实现登陆 踢出用户功能 (挤人) 以及UnknownSessionException异常问题 记住我功能
AmbroseLe
12-23 8056
简介:踢出用户功能:就是限制一个账号登陆人数。 本文限定一个账号一个用户登陆,并且是挤掉前一个用户 目录 首先 pom 然后Shiro配置Bean ShiroConfigBean 然后配置 ShiroRealm(百度翻译: Realm 领域) 然后sessiondao SessionDAO 然后 配置踢人(挤人)逻辑 Kicko...
java怎么实现踢掉在线用户_shiro实现用户踢出功能
weixin_39810441的博客
02-25 222
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsdhttp://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-uti...
java 实现异地登陆_Java实现用户异地登陆踢人操作
weixin_36486395的博客
02-13 1843
使用框架:Shiro+SpringBoot首先,我先说步骤:1.登陆2.查看该用户是否已经登陆 是:3 否:正常登陆3.将已登陆用户踢出,自己登陆。这只是说原理,具体实现现在说。踢出登陆用户,主要体现在对已登陆用户session的处理上,原理简单,就是将已登陆用户的session删除就好。难点在于如何找到该用户的session。这里,我使用了redis首先,在登陆的时候获取用户的sessio...
shiro注销其他用户_Shiro实现互斥登录,并踢出登录用户功能。
weixin_33587161的博客
01-30 1040
作为一名小白,初遇到这种业务也着实头疼了一段时间。经历了各种查资料,总结出了一个相对简便的方法。首先在登陆之后使用Collection list = sessionDAO.getActiveSessions();方法获取到所有登录用户,循环该list,取到集合中单个的session对象Subject s = new Subject.Builder().session(session).build...
springboot+shiro实现登录人数控制
weixin_45541795的博客
10-29 841
今天又是美好的一天,好了,不多逼逼。今天内容有点多,咱们抓紧时间。 好,咱们来讲讲如何写springboot+shiro 实现登陆人数控制 来,咱们直接看代码 conrtoller:咱们就是一个正常登陆,没什么区别 Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username,password); System.ou
一个用户同一个浏览器多次登录shiro互踢的问题
許先生的博客
11-02 4886
关键代码如下: //判断是否同一用户同一个浏览器中登录,是就不踢除 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException { //获取基于用户名和密码的令牌 //实际上这个...
Shiro并发登录人数控制-后面登录踢出前面登录的!
诺坎普之旅
12-18 649
Shiro并发登录人数控制-后面登录踢出前面登录的!为了安全起见,同一个账号理应同时只能在一台设备上登录,后面登录踢出前面登录的,用Shiro可以轻松实现此功能。shiro中sessionManager是专门作会话管理的,而sessinManager将会话保存在sessionDAO中,如果不给sessionManager注入此例中sessionDAO注入了Ehcache缓存,会话被保存在Ehca
单个用户的多重并发会话限制/限制单客户端同时登录多个用户
热门推荐
学习笔记
04-16 2万+
我使用的是SSH2框架: 首先,
Springboot + redis+shiro 限制 同一账号 同时 多处登录
Joe_elena的博客
08-23 6833
从网上看了很多解决方案,用的最多的 应当是SessionId 了。方案虽多,适合自己的才是最好的。 之前做了一个 在线用户的统计 和 管理踢出激活在线用户的功能,因此我得到了一个启发。程序是死的,人是活得,我可不可以定一些规则,让程序 根据我的规定 来 运行。 思路: 1.定规则。 将 踢出用户 画一个标识,也就是 访问的Sess ionId。踢出了 我将它标记为false 如果 ...
Spring Security并发会话控制示例教程–如何限制Java JEE Web应用程序中的用户会话数...
最佳 Java 编程
06-04 654
如果您不知道, Spring安全性可能会限制用户可以拥有的会话数。 如果要开发Web应用程序,尤其是Java JEE中的安全Web应用程序 ,则必须提出类似于在线银行门户的要求,例如, 每个用户一次只能有一个会话,或者每个用户没有并发会话 。 即使您也可以在不使用Spring安全性但使用Spring安全性的情况下实现此功能,它只是小菜一碟:)。 您只需要在spring安全配置文件中添加几行X...
springboot shiro 重复登录 剔除
weixin_34125592的博客
01-31 464
springboot整合shiro后。 当同一用户重复登录时,默认会两个都登录成功,两个session。 目标是:当第二次登录时,把第一个session剔除。不允许重复登录 小知识:同一个浏览器,用两个标签页分别登录,是同一个session。 两个浏览器登录,是两个session。 ShiroConfiguration.java package com.zfzn.hospital_b...
java 单个用户的多重并发会话_SpringBoot 并发登录人数控制的实现方法
weixin_39956110的博客
02-24 794
通常系统都会限制同一个账号的登录人数,多人登录要么限制后者登录,要么踢出前者,Spring Security 提供了这样的功能,本文讲解一下在没有使用Security的时候如何手动实现这个功能demo 技术选型SpringBootJWTFilterRedis + RedissonJWT(token)存储在Redis中,类似 JSessionId-Session的关系,用户登录后每次请求在Heade...
shiro的session管理踢出用户
最新发布
09-11
shiro的session管理功能可以通过设置session超时时间来自动踢出用户,即当用户的会话超过设定的时间后,会自动使用户失效,需要重新登录。 要实现用户踢出功能,可以通过在登录时记录用户的session信息,并将其保存...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值