Apache shiro如何实现一个账户同一时间只能在一个浏览器登录

最新推荐文章于 2023-04-13 09:20:40 发布
最新推荐文章于 2023-04-13 09:20:40 发布
阅读量893 收藏
点赞数
文章标签: apache
原文链接:https://blog.csdn.net/m0_47959499/article/details/108144894 
版权

会话

即用户访问应用时保持的连接关系,通过会话应用可以在多次访问中识别出当前的用户是谁,还可以在交互中保存数据。

限制登录功能,用shiro安全框架管理session会话

效果就是 不让同一个账户通过其他浏览器进行二次登录,除非在已登陆页面超过5分钟未进行任何操作,才可以再次登录

话不多说上代码

//Controller层如下:
@Resource private SessionDAO sessionDao;

/**
 * 用户登录
 */
@ResponseBody
@RequestMapping(value = "/login", method = RequestMethod.POST)
public ResponsePojo login(String username, String password, String captcha)throws IOException {
	//验证码校验省略。。。
	//用户名密码非空校验省略。。。
	try{
    	Subject subject = ShiroUtils.getSubject();

        //获取当前已登录的用户session列表
        Collection<Session> sessions = sessionDao.getActiveSessions();
        for (Session session : sessions) {
            Subject s = new Subject.Builder().session(session).buildSubject();
            //判断是否已通过认证
            if (s.isAuthenticated()) {
                SysUser u = (SysUser) s.getPrincipal();
                //sessionId不同 且 登录用户名相同——>进行登录限制
                if (u!=null && username.equalsIgnoreCase(u.getUsername()) && 
                	!session.getId().equals(subject.getSession().getId())) {
                    //获取目前未操作时长
                    long timeOut = (new Date().getTime() - session.getLastAccessTime().getTime());
                    if (timeOut>300000){
                        //移除5分钟内无操作的会话
                        sessionDao.delete(session);
                    }else {
                        return ResponsePojo.error("账号已登录,请先从其他平台退出登录;或者请"+
                        	((300000 - timeOut)/60000+1)+"分钟后重试");
                    }
                }
            }
        }
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        //登录认证
        subject.login(token);
    }catch (Exception e) {
    	//其他异常省略。。。
		msg = e.getMessage();
		return ResponsePojo.error(msg);
	}
}

shiro-会话管理:

shiro自己实现了一套session管理体系可以在不借助任何web容器或servlet的情况下使用session。
SessionManager(session管理器)、SessionDAO(实现session的增删改查)

所以还要配置shiro.xml

<!-- 实现session的增删改查 -->
<bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.MemorySessionDAO">
</bean>

<!-- session管理器 -->
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
	<!-- 设置session过期时间为12小时(单位:毫秒),默认为30分钟 -->
	<property name="globalSessionTimeout" value="43200000"></property>
	<property name="sessionValidationSchedulerEnabled" value="true"></property>
	<property name="sessionDAO" ref="sessionDAO"/>
</bean>

shiro-会话相关API:

Subject subject = SecurityUtils.getSubject();
Session session = subject.getSession();

拿到session之后,就可以调用以下API(省略一部分。。。)

返回值方法名 描述
Serializable   getId()    获取session的唯一id
Object    getAttribute(Object key)  根据key标识返回绑定到session的对象
DategetLastAccessTime() 获取最后的访问时间
Date    getStartTimestamp()获取session的启动时间

我这里用到了就是getLastAccessTime()这个获取最后访问时间的方法,
判断当前时间距离最后一次访问时间 :
如果大于5分钟 说明前者登录有5分钟以上未操作页面,清除此session以后,后者就可以进行登录;
如果小于5分钟 说明前者5分钟内有操作过页面,提示后者可以先进行退出再登陆,或者等几分钟再登陆;
 

//移除5分钟内无操作的会话 目的就是 防止用户非正常退出,直接关闭浏览器或断电,session未过期或未清除
sessionDao.delete(session);

大白兔奶糖(小飞侠)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot整合shiro之禁止重复登陆(附源码)
临窗,听雨声
11-12 4366
禁止重复登陆,就是同一个账号在不同的浏览器,不同的设备登陆的时候只会有一个登陆成功,其他的都会被挤下去。 就像,我登的我的账号,这个时候你再来登我的账号,我就被挤下去了。 本文将介绍如何使用shiro禁止重复登陆。 每一个登陆用户登陆后都会存在于 shiro 的一个 session里面。当然,这里我们需要设置,登陆成功后 Session session = SecurityUtils.g...
关于Apache shiro实现一个账户同一时刻只有一个人登录(shiro 单点登录)
09-15
Shiro实现单点登录(Single Sign-On,SSO)是为了确保同一账号在同一时间只能在一个设备或浏览器上保持登录状态,以增强系统的安全性。 在 Shiro实现单点登录的核心思路是监控并控制用户的会话(Session)...
shiro解决一个浏览器只能登陆一个账号
穷水叮咚的博客
06-06 6212
使用shiro安全框架,当账号登录成功后,再开第二个窗口登录账号,发现登录成功后会继续跳转到登录页面对shiro源码进行了调试,发现是AuthenticationFilter验证逻辑的问题:1.它首先验证是否有允许访问页面(isAccessAllowed方法)。2.在拒绝访问中(FormAuthenticationFilter的onAccessDenied方法)才会进行判断是否是登录提交(isLo...
shiro 控制同一个账号只能登录一次
欢迎所有人,批评指正!
07-09 1046
添加一个过滤器 import lombok.extern.slf4j.Slf4j; import org.apache.shiro.cache.Cache; import org.apache.shiro.cache.CacheManager; import org.apache.shiro.session.Session; import org.apache.shiro.subject.Subject; import org.apache.shiro.web.filter.AccessControlFil
关于一个账号只允许一个浏览器登录和一段时间不操作就让账号自动掉线
EvaLilys的博客
04-26 3023
关于一个账号只允许一个浏览器登录和一段时间不操作就让账号自动掉线 作为一个C#的新手,我实现这个功能花了两天,现在感觉有点身心俱疲。我怕以后忘了,就先把思路和过程写一下。 在实现功能之前,需要写一个js实时去检测用户的登录状态 其实就是写一个setInterval回调函数,函数里面写一个访问后台的方法 第一,实现一个账号只允许一个浏览器登录 首先,你在登录的时候需要记录一个cookie和一个缓存(...
shiro控制同一账号只能单客户端登录
m0_37928046的博客
06-08 936
DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager)SecurityUtils.getSecurityManager(); DefaultWebSessionManager sessionManager = (DefaultWebSessionManager)securityManager.getSessionManager(); SessionDAO sessionDAO = sessionManager.getS.
shiro实现单点登录(一个用户同一时刻只能在一个地方登录)
09-01
在本文中,我们将深入探讨如何使用 Shiro 实现单点登录(Single Sign-On, SSO),确保一个用户在同一时刻只能在一个地方登录。 单点登录是一种常见的安全机制,它允许用户在一次登录后访问多个相互关联的应用系统,...
整合Apache Oltu 与 Shiro. 提供一个轻量的OAUTH2应用框架
最新发布
06-08
Apache Oltu和Apache Shiro都是在IT领域中广泛使用的开源项目,它们分别专注于身份验证、授权和OAuth2协议的实现。将这两个组件整合在一起,可以构建出一个强大的、轻量级的安全应用框架,适用于各种应用场景,包括...
一个简单的springboot整合shiro demo,实现登录页面拦截,账户密码提交正确放行
06-27
本项目"shirodemo"就是一个很好的示例,展示了如何在SpringBoot环境中配置和使用Shiro实现基本的登录验证和权限拦截。 首先,SpringBoot提供了便捷的起步依赖(starters)来简化项目的初始化工作。在Shiro的整合...
SpringMvc实现一个账号只能在一个地方登陆,其他地方强制下线
热门推荐
alan_liuyue的博客
08-28 1万+
一.前言 在处理项目登录问题的时候,为了账号的安全性以及信息的同步性,有时我们需要做到同一个账户只允许在一处地方登录,如果一个账户在一个处地方登录之后,之后在另一个地方也使用同一个账户登录,则前一个登录账户就强制下线; 做到这种效果的方式有很多种,比如使用redis、memcache等缓存机制就能轻松实现分布式状态下,控制账户登录的单一性; 本篇博客主要讲解的是在不用redis等缓存机...
shiro限制帐号只能在一处登录
weixin_42712370的博客
03-11 647
shiro限制帐号只能在一处登录
java 无账号登陆_SpringMVC实现账号只能在一处登陆
weixin_28889007的博客
02-28 283
一、问题引导在Web开发中,实现一个账号只能在一处登陆有两种形式:1.当某个账号在某处登陆后,如果再在其他处登陆,将前一个账号挤掉;2.当某个账号登陆后,此账号在其他设备登陆提示已经登陆,无法登陆。 正常的应用逻辑第一种应用较为广泛,因此此篇文章讨论一下第一种逻辑在spring mvc开发中一种较为简单的实现方式。然而在没有长连接如WebSocket或者异步请求轮询的情况下,我们之前登陆的账号只能...
springboot+shiro实现单帐号只允许在一处登录
web15286201346的博客
04-08 1547
这里使用的是session存储验证信息 R ajaxLogin(String username, String password,String code) { List<Long> userIdentityList = userService.findUserIdentityByUsername(username); Boolean isAdmin = false; for(Long userIdentity : userIdentityL
【使用shiro实现账户只能在一个地方登录,异地登陆挤下线】
weixin_46801673的博客
04-13 715
使用shiro实现账户只能在一个地方登录,异地登陆把旧帐户挤下线
spring boot + shiro 限制一个账号只有一个sessionid
andyLyysh的博客
11-04 614
shiro限制同一个账号只能有一个Session
Apache shiro如何实现一个账户同一时刻只有一个人登录
09-29 322
继承AuthorizingRealm类,重写方法doGetAuthenticationInfo /** * 认证(登录时调用) */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws Au...
shiro实现单用户登录
weixin_44060936的博客
08-21 1529
shiro实现同一账号同时只能单用户登录 一.shiro中的过滤器 non org.apache.shiro.web.filter.authc.AnonymousFilter 匿名过滤器 authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter 如果继续操作,需要做对应的表单验证否则不能通过 authcBa...
Shiro和Spring 集合实现同一个账号只能一个人在线使用,其它人在使用进行剔除...
weixin_30360497的博客
12-27 217
原文地址:https://www.cnblogs.com/yinfengjiujian/p/9087511.html 1、实现原理其实就是自定义过滤器,然后登录时,A登录系统后,B也登录了,这个时候获取此账号之前的session给删除,然后将新的session放入到缓存里面去,一个账户对应一个有序的集合 编写自定义过滤器:KickoutSessionControlFilter.jav...
shiro解决一个账号异地登录的问题
asdfgh0077的博客
08-20 364
shiro解决一个账号异地登录的问题
shiro实现用户一个账号登录踢下线功能
03-02
shiro框架可以通过使用session来实现用户登录踢下线功能。当用户登录成功后,shiro会为该用户创建一个session,并将session的ID存储在cookie中。当用户再次尝试登录时,可以先检查该用户是否已经有一个session,如果有,则可以通过设置该session的状态为无效来实现踢下线功能。具体实现可以参考shiro框架的文档或者相关的教程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值