案例代码:springboot+shiro配置同一用户多设备登录最大会话数

于 2021-10-28 11:21:48 发布
阅读量787 收藏 2
点赞数 1
分类专栏: spring/springboot/springcloud 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41358574/article/details/121010410
版权

SpringBoot SpringSecurity 会话管理 踢出用户 多设备登录
关键词由CSDN通过智能技术生成

另一链接:
springboot+springsecurity配置登录后踢出前一个登录用户

1.自定义登陆过滤器类:

/**
 * 登录帐号控制过滤器
 * 

 */
public class KickoutSessionFilter extends AccessControlFilter
{
    private final static ObjectMapper objectMapper = new ObjectMapper();

    /**
     * 同一个用户最大会话数
     **/
    private int maxSession = -1;

    /**
     * 踢出之前登录的/之后登录的用户 默认false踢出之前登录的用户
     **/
    private Boolean kickoutAfter = false;

    /**
     * 踢出后到的地址
     **/
    private String kickoutUrl;

    private SessionManager sessionManager;
    private Cache<String, Deque<Serializable>> cache;

    @Override
    protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o)
            throws Exception
    {
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception
    {
        Subject subject = getSubject(request, response);
        if (!subject.isAuthenticated() && !subject.isRemembered() || maxSession == -1)
        {
            // 如果没有登录或用户最大会话数为-1,直接进行之后的流程
            return true;
        }
        try
        {
            Session session = subject.getSession();
            // 当前登录用户
            SysUser user = ShiroUtils.getSysUser();
            String loginName = user.getLoginName();
            Serializable sessionId = session.getId();

            // 读取缓存用户 没有就存入
            Deque<Serializable> deque = cache.get(loginName);
            if (deque == null)
            {
                // 初始化队列
                deque = new ArrayDeque<Serializable>();
            }

            // 如果队列里没有此sessionId,且用户没有被踢出;放入队列
            if (!deque.contains(sessionId) && session.getAttribute("kickout") == null)
            {
                // 将sessionId存入队列
                deque.push(sessionId);
                // 将用户的sessionId队列缓存
                cache.put(loginName, deque);
            }

            // 如果队列里的sessionId数超出最大会话数,开始踢人
            while (deque.size() > maxSession)
            {
                // 是否踢出后来登录的,默认是false;即后者登录的用户踢出前者登录的用户;
                Serializable kickoutSessionId = kickoutAfter ? deque.removeFirst() : deque.removeLast();
                // 踢出后再更新下缓存队列
                cache.put(loginName, deque);

                try
                {
                    // 获取被踢出的sessionId的session对象
                    Session kickoutSession = sessionManager.getSession(new DefaultSessionKey(kickoutSessionId));
                    if (null != kickoutSession)
                    {
                        // 设置会话的kickout属性表示踢出了
                        kickoutSession.setAttribute("kickout", true);
                    }
                }
                catch (Exception e)
                {
                    // 面对异常,我们选择忽略
                }
            }

            // 如果被踢出了,(前者或后者)直接退出,重定向到踢出后的地址
            if (session.getAttribute("kickout") != null && (Boolean) session.getAttribute("kickout") == true)
            {
                // 退出登录
                subject.logout();
                saveRequest(request);
                return isAjaxResponse(request, response);
            }
            return true;
        }
        catch (Exception e)
        {
            return isAjaxResponse(request, response);
        }
    }

    private boolean isAjaxResponse(ServletRequest request, ServletResponse response) throws IOException
    {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        if (ServletUtils.isAjaxRequest(req))
        {
            AjaxResult ajaxResult = AjaxResult.error("您已在别处登录,请您修改密码或重新登录");
            ServletUtils.renderString(res, objectMapper.writeValueAsString(ajaxResult));
        }
        else
        {
            WebUtils.issueRedirect(request, response, kickoutUrl);
        }
        return false;
    }

    public void setMaxSession(int maxSession)
    {
        this.maxSession = maxSession;
    }

    public void setKickoutAfter(boolean kickoutAfter)
    {
        this.kickoutAfter = kickoutAfter;
    }

    public void setKickoutUrl(String kickoutUrl)
    {
        this.kickoutUrl = kickoutUrl;
    }

    public void setSessionManager(SessionManager sessionManager)
    {
        this.sessionManager = sessionManager;
    }

    // 设置Cache的key的前缀
    public void setCacheManager(CacheManager cacheManager)
    {
        // 必须和ehcache缓存配置中的缓存name一致
        this.cache = cacheManager.getCache(ShiroConstants.SYS_USERCACHE);
    }
}

shiro配置类

@Configuration
public class ShiroConfig
{
    /**
     * 同一个用户多设备登录限制
     */
    public KickoutSessionFilter kickoutSessionFilter()
    {
        KickoutSessionFilter kickoutSessionFilter = new KickoutSessionFilter();
        kickoutSessionFilter.setCacheManager(getEhCacheManager());
        kickoutSessionFilter.setSessionManager(sessionManager());
        // 同一个用户最大的会话数,默认-1无限制;比如2的意思是同一个用户允许最多同时两个人登录
        kickoutSessionFilter.setMaxSession(maxSession);
        // 是否踢出后来登录的,默认是false;即后者登录的用户踢出前者登录的用户;踢出顺序
        kickoutSessionFilter.setKickoutAfter(kickoutAfter);
        // 被踢出后重定向到的地址;
        kickoutSessionFilter.setKickoutUrl("/login?kickout=1");
        return kickoutSessionFilter;
    }

    /**
     * Shiro过滤器配置
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager)
    {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // Shiro的核心安全接口,这个属性是必须的
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 身份认证失败,则跳转到登录页面的配置
        shiroFilterFactoryBean.setLoginUrl(loginUrl);
        // 权限认证失败,则跳转到指定页面
        shiroFilterFactoryBean.setUnauthorizedUrl(unauthorizedUrl);
        // Shiro连接约束配置,即过滤链的定义
        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 对静态资源设置匿名访问
        filterChainDefinitionMap.put("/favicon.ico**", "anon");
      
        // 系统权限列表
        // filterChainDefinitionMap.putAll(SpringUtils.getBean(IMenuService.class).selectPermsAll());

        Map<String, Filter> filters = new LinkedHashMap<String, Filter>();
   
        filters.put("captchaValidate", captchaValidateFilter());
        filters.put("kickout", kickoutSessionFilter());//注意这里,注册自己定义的会话数量控制过滤器
        // 注销成功,则跳转到指定页面
        filters.put("logout", logoutFilter());
        shiroFilterFactoryBean.setFilters(filters);

        // 所有请求需要认证
        filterChainDefinitionMap.put("/**", "user,kickout,onlineSession,syncOnlineSession");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;
    }
march of Time
关注
专栏目录
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
shiro账号安全(每一个账号只能同时存在于一台设备上)
qq_39069111的博客
07-22 3692
今天我们记录一下shiro一个账号安全。 在网上看了一下其他人的实现,个别案例显得繁琐,配置太过于沉重,今天在这里介绍一种简单的方法。 1.首先说一下我实现的思路 首先,在这之前我们知道,当用户登陆成功之后,shiro会将用户的一些信息存储的sessionDao,同时,对于同一个浏览器对不同的账号,登陆时产生相同的sessionId,这也导致了用户信息之间的覆盖,不同的浏览器对于不同的账号...
shiro获取session用户_Shiro用户登录,清理之前登录用户
weixin_36436373的博客
02-04 894
在自定义的realm中的doGetAuthenticationInfo方法中定义,根据传入参类型的不同选择对应的处理方法/*** new SimpleAuthenticationInfo(user, pwd, this.getName())中的第一个是SysUser对象,* 在其他接收的地方也要转成SysUser对象,使用对象这里对应的处理方式是采用方法一,* 如果是传递的use...
shiro同一用户后登陆踢出前面的用户
qq_40543150的博客
01-24 3371
直接上代码 下面就是我实现的访问控制拦截器:KickoutSessionControlFilter: public class KickoutSessionControlFilter extends AccessControlFilter { private static Logger logger = LoggerFactory.getLogger(KickoutSessionContro...
Shiro用户登录,清理之前登录用户
gaygay741的博客
07-23 635
参考文档 https://blog.csdn.net/weixin_41485592/article/details/80655341 https://blog.51cto.com/1197822/2324201
java 实现异地登陆_Java实现用户异地登陆踢人操作
weixin_36486395的博客
02-13 1862
使用框架:Shiro+SpringBoot首先,我先说步骤:1.登陆2.查看该用户是否已经登陆 是:3 否:正常登陆3.将已登陆用户踢出,自己登陆。这只是说原理,具体实现现在说。踢出已登陆用户,主要体现在对已登陆用户session的处理上,原理简单,就是将已登陆用户的session删除就好。难点在于如何找到该用户的session。这里,我使用了redis首先,在登陆的时候获取用户的sessio...
java 单个用户的多重并发会话_java做单用户的多重并发会话限制
weixin_39929635的博客
02-16 221
判定条件很简单,就是在同一时刻,同一帐号仅在一个终端上可正常操作。我这里用简单的key,value进行判定,将用户存储在map里面,新登录用户登陆进系统后,判断map里是否存在当前用户,若存在就删除,将新登录用户的session信息存入map里,这样前面登录用户就会退出系统。继承HttpSessionListener,HttpSessionAttributeListener类1、先需要配置项目下的...
shiro+spring+data+session+redis实现单点登录
08-03
- 安全性:ShiroSpring都有相应的安全设置,如会话超时、会话固定攻击防护等,需要正确配置以保障系统安全。 - 故障恢复:考虑Redis故障时的备份策略,避免单点故障影响SSO服务。 通过上述组件的组合,开发者可以...
SpringBootShiro整合-权限管理的简单权限系统.zip
08-05
5. **会话管理**:Shiro还负责管理用户会话状态,例如记录用户登录后的活动,防止同一用户同一时间内在多个设备登录等。 项目可能包含以下主要模块: - **用户模块**:负责用户注册、登录、修改密码、找回...
JSP基于SSM网上汽车维修预约系统可升级SpringBoot毕业源码案例设计.zip
最新发布
02-24
1. SpringBoot的自动配置SpringBoot通过扫描特定的启动类和配置文件,自动配置相关组件,简化了项目配置工作。 2. MyBatis Plus:在MyBatis的基础上,提供了丰富的 CRUD 操作,简化了据访问代码。 3. JWT...
java怎么实现踢掉在线用户_shiro实现用户踢出功能
weixin_39810441的博客
02-25 227
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsdhttp://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-uti...
我的shiro之旅: 十二 shiro 踢出用户(同一用户只能一处登录)
热门推荐
Dylan的博文
03-04 2万+
博客已移至 http://blog.gogl.top 看了一下官网,没有找到关于如何控制同一用户只能一处登录的介绍,网上也没有找到相关的文章。可能有些人会记录用户登录信息,然后达到踢出用户的效果。这里介绍一个更简单的方法。 如果我们跟shiro的源码,我们可以看到。当用户登录成功后,shiro会把用户名放到session的attribute中,key为DefaultSubjectContex...
shiro实现用户踢出功能
weixin_34023863的博客
01-05 2324
title: shiro实现用户踢出功能 tags: reids shiro Kickout categories: 工作日志 date: 2017-05-25 18:18:56 貌似现在javaweb界大部分还是知道开涛的大名的,许多人的springmvc,springshiro等的入门教程就是从开涛的博客开始的。 Shiro的单用户登录功能也是从开涛的博客代码参考过来的,第十八章 并...
SpringBoot+Shiro学习之自定义拦截器管理在线用户(踢出用户
qq_20954959的博客
03-05 1万+
应用场景 我们经常会有用到,当A 用户在北京登录 ,然后A用户在天津再登录 ,要踢出北京登录的状态。如果用户在北京重新登录,那么又要踢出天津的用户,这样反复。又或是需要限制同一用户的同时在线量,超出限制后,踢出最先登录的或是踢出最后登录的。 第一个场景踢出用户是由用户触发的,有时候需要手动将某个在线用户踢出,也就是对当前在线用户的列表进行管理。 ··························
关于shiro同一帐号同一时刻多处登录问题
henry_chatter的博客
12-08 6872
这段时间做项目遇到一个关于shiro登录的问题。同一帐号不能同时登录,如果同时登录的话前面一个人的session就失效。百转千回,因为shiro登录到权限控制没有任何问题,就把问题点转移到存储端。去检查redis,检查reids的配置相关,结果也没发现什么毛病。后来在网上查阅文章,多看了看shiro相关的东西。问题锁定在shiro控制同一用户不能在同一时刻多处登录,然后修改程序: 1.s
shiro注销其他用户_Shiro实现互斥登录,并踢出登录用户功能。
weixin_33587161的博客
01-30 1051
作为一名小白,初遇到这种业务也着实头疼了一段时间。经历了各种查资料,总结出了一个相对简便的方法。首先在登陆之后使用Collection list = sessionDAO.getActiveSessions();方法获取到所有登录用户,循环该list,取到集合中单个的session对象Subject s = new Subject.Builder().session(session).build...
springboot+shiro实现登录控制
weixin_45541795的博客
10-29 849
今天又是美好的一天,好了,不多逼逼。今天内容有点多,咱们抓紧时间。 好,咱们来讲讲如何写springboot+shiro 实现登陆人控制 来,咱们直接看代码 conrtoller:咱们就是一个正常登陆,没什么区别 Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username,password); System.ou
Shiro并发登录控制-后面登录的踢出前面登录的!
诺坎普之旅
12-18 663
Shiro并发登录控制-后面登录的踢出前面登录的!为了安全起见,同一个账号理应同时只能在一台设备登录,后面登录的踢出前面登录的,用Shiro可以轻松实现此功能。shiro中sessionManager是专门作会话管理的,而sessinManager将会话保存在sessionDAO中,如果不给sessionManager注入此例中sessionDAO注入了Ehcache缓存,会话被保存在Ehca
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值