springboot + shiro实现显示用户在线状态和限制账号只能在一个地方登录(用户踢出)同一个浏览器,用两个标签页分别登录,是同一个session。

已于 2024-01-09 10:21:22 修改
阅读量390 收藏
点赞数 1
文章标签: spring boot spring java
于 2023-11-14 22:24:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53796930/article/details/134365869
版权

1.shiro配置类

@Configuration
@Lazy
public class ShiroConfiguration {

    /**
     *shiro的过滤器配置
    */

    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //Shiro的核心安全接口,这个属性是必须的
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
        filters.put("authc", new LoginAuthenticationFilter());

        //要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面
        shiroFilterFactoryBean.setLoginUrl("/");
        //登录成功后要跳转的连接,逻辑也可以自定义,例如返回上次请求的页面
        shiroFilterFactoryBean.setSuccessUrl("/home");
        //用户访问未对其授权的资源时,所显示的连接
        shiroFilterFactoryBean.setUnauthorizedUrl("/unauth");

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        // 配置退出过滤器,过滤按顺序执行,全局anon需要放到最后面

        /**
         * 1、建议配置URL地址过滤,可以快速过滤没有,不要等待注解层抛出异常
          *以下示例,实际根据需求来
         */
         filterChainDefinitionMap.put("/api/**", "anon");
        filterChainDefinitionMap.put("/client/**", "anon");
        filterChainDefinitionMap.put("/**.js", "anon");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;
    }

    /**

    * 配置自己写的认证代码类

    */

    @Bean
    public ShiroDBAuthorizingRealm shiroRealm() {

        ShiroRealm shiroRealm = new ShiroRealm();
        shiroRealm.setAuthenticationCachingEnabled(true);
        return shiroDBAuthorizingRealm;
    }

    /**
     * shiro的安全管理器
     *
     * @return
     * @Bean(name = "securityManager")
     */
    @Bean
    public SecurityManager securityManager(ShiroDBAuthorizingRealm shiroDBAuthorizingRealm, CacheManager cacheManager, Environment environment) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(shiroDBAuthorizingRealm);
        boolean online = Boolean.valueOf(environment.getProperty("user.online","true"));
        if (online) {
            DefaultWebSessionManager defaultWebSessionManager = new DefaultWebSessionManager();
            defaultWebSessionManager.setGlobalSessionTimeout(30 * 60 * 1000);
            securityManager.setSessionManager(defaultWebSessionManager);
        } else {
            securityManager.setSessionManager(new ServletContainerSessionManager());
        }
        return securityManager;
    
    }
    /**
     * Shiro生命周期处理器
     *
     * @return
     */
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),
     * 需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
     *
     * @return
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}

       online表示是否需要显示用户状态。

      这我使用online参数来决定使用哪一个session管理器,默认为ServletContainerSessionManager,session缓存到 WEB容器中,热加载不需要重新登录。(即我们重启项目时,不需要每次都重新登录,大大提高开发效率),而这个管理器中没有获取sessionDAO的方法,无法获取登录用户。所用使用了DefaultWebSessionManager,他继承了DefaultSessionManager类,点进源码中看,有sessionDAO的get,set方法。而sessionDAO则是session会话持久化的关键。

2.创建一个session管理工具类



@Service
public class SessionManagerService {


    @Autowired
    private SecurityManager securityManager;

    @Value("${user.online:true}")
    private boolean online;
    
    /**
    *通过配置控制用户登录的方式,登录方式不同,存入session的用户信息不同
    */
    @Value("${user.login.method:phoneNumber}")
    private String method;

    private DefaultWebSessionManager getSessionManager() {
        DefaultWebSecurityManager defaultWebSecurityManager = (DefaultWebSecurityManager) securityManager;
        DefaultWebSessionManager sessionManager = (DefaultWebSessionManager) defaultWebSecurityManager.getSessionManager();
        return sessionManager;
    }
    
    /**
     * 获取账号对应的 shiro session
     * 1、管理员登录时,传管理员ID
     * 2、用户账号登录时,传用户ID
     * 3、用户手机号码登录时,传手机号码
     * @param id
     * @return
     */
    public Session getSessionByUserIdOr(String id) {
    	if(!online) {
    		return null;
    	}
    	Map<String, Session> sessionsMap = getSessionsMap();
    	return sessionsMap.get(id);
    }
    
    /**
     * 删除会话,强制用户退出,用于一个账号同时只能有一个地方登录
     * 并判断当前登录的session与查出的session是否相同,相同则不删除。
     * (一台电脑上同一个浏览器在 不退出登录直接关闭浏览器时再次登录相同账号session是相同的,这时删除会造成报错)
     * @param session
     */
    public void deleteSession(Session session) {
        if (online && session != null && !SecurityUtils.getSubject().getSession().getId().equals(session.getId())) {
            DefaultWebSessionManager sessionManager = getSessionManager();
            sessionManager.getSessionDAO().delete(session);
        }
    }
    

    /**
     * 获取所有在线用户的session,从session中获取登录用户的信息,与sessionId存与map中
     * @return
     */
    public Map<String, Session> getSessionsMap() {
    	if(!online) {
    		return null;
    	}
    	User user = null;
        Admin admin = null;
        SimplePrincipalCollection principalCollection = null;
        Map<String, Session> userSessionMap = new HashMap<>();
        DefaultWebSessionManager sessionManager = getSessionManager();
        Collection<Session> sessions = sessionManager.getSessionDAO().getActiveSessions();
        for (Session session : sessions) {
            if (session.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY) != null) {
                principalCollection = (SimplePrincipalCollection) session.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY);
                Object primaryPrincipal = principalCollection.getPrimaryPrincipal();
                if (primaryPrincipal instanceof User) {
                    user = (User) primaryPrincipal;
                    if (method.equals("phoneNumber")) {
                        userSessionMap.put(user.getPhoneNumber(), session);
                    } else {
                        userSessionMap.put(user.getUserId(), session);
                    }
                } else if (primaryPrincipal instanceof Admin) {
                    admin = (Admin) primaryPrincipal;
                    userSessionMap.put(admin.getUserId(), session);
                } else {
                	throw new BizException("不支持的会话类:" + primaryPrincipal.getClass());
                }
            }
        }
        return userSessionMap;
    }

}

1.这里获取sessionManager需要进行两次强转,然后通过sessionManager.getSessionDAO()获取sessionDAO进行session的增删改查。

2.获取到当前所有登录的用户后,再登录接口进行判断,进行登录的用户id是否有对应的session,有则直接删除session,使上一个登录的用户被强制退出。

3.同时获取到登录用户的所有session,查询用户列表时通过判断,是否存在用户Id对应的session从而修改用户是否在线的状态。

3.注意

     1.在大用户量情况下,该方法非常消耗内存,此时不建议使用该方法。

     2.在配置类中我并没有使用注解的方式引用yml文件里配置,原因是注入不进去。注入配置的方法很多种,有兴趣的可以借鉴一下这篇文章。
SpringBoot读取配置文件的六种方式-CSDN博客

··                

涛涛不绝 
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot 多点互斥登录(web应用安全) 保姆级教程
来杯咖啡的博客
11-25 3327
1.什么是互斥登录在实际生活中,很多网站都做了多点登录互斥的操作,简单来说就是同一个账号只能在一台电脑上登录,如果有人在其他地方登录,那么原来登录地方就会自动下线,再进行操作就会弹出登录界面。2.实现思路添加拦截器,设置UUID让作为唯一标识,存入redis中当value,当前登陆者的账户为key,当前登陆者的token与我们redis中的token值相同则通过,否则返回false,表示设备已在其他地方登录。3.代码实现3.1 创建boot项目选择依赖。
spring实现同一账号同一时间只能同一个地方登录
雷恩Layne
09-11 3623
spring实现同一账号同一时间只能同一个地方登录 这里先说一下大致思路:当系统验证用户账号密码通过后,获取该用户sessionid(每一个用户创建的sessionid是唯一的),和用户id(用户的唯一标识,用账号也可以),讲Userid作为键,sessionid作为值放入map中,再将map放入application,如果此后有其他人用同一个账号登录,将用户信息放入map后,会将先前的m
springboot2+shiro+redis限制同一账号同时在线人数
小灰灰的博客
07-17 1098
springboot2+shiro+redis限制同一账号同时在线人数
springboot + shiro 整合 redis 缓存用户并发登录限制用户登录错误次数
快乐的小三菊的博客
06-08 2819
springboot + shiro + redis
Springboot web项目简单统计在线人数
程序员
07-29 2264
web项目中都是短连接,无法根据连接的开启与断开做判断,只能简单的根据session的创建与销毁来判断在线人数,做不到实时统计。 好了,直接上代码 #1、springboot的启动类加上@ServletComponentScan注解 #2、创建一个监听器 @WebListener public class OnlineSessionListener implements HttpSessionListener { private Logger logger = LoggerFactor.
Spring Boot手把手教学(18):基于Redis和Redisson实现用户互踢功能,一个用户只能一个浏览器登录
非著名程序猿
02-26 2688
1、前言 在项目中,同一个账户有时候会在多个地方登录,这个时候需要限制一个账户只能一个客户端/浏览器登录,并在被踢出浏览器/客户端作出消息通知; 比如用户A在浏览器A登录成功后,他又在浏览器B登录该账户,这个情况,我们需要在浏览器A提示“当前账户已在别的地方登录”,并退出登录。 消息通知是基于websocket的,互踢功能基于Redis+Redisson消息队列; 那么该如何实现呢? 2、实现思路 思路 消息通知 消息通知是基于websocket的,具体代码可参考上一篇文章:Spring Bo
springboot浅整合shiro
Json_Dj的博客
01-09 151
浅谈springboot整合shiro,数据库设计思路及简单代码的展示
SpringBoot+Mybatis+Mybatis Plus+Shiro实现一个简单的项目架构
08-07
此项目是一个SpringBoot中集成了Mybatis+Mybatis Plus+Shiro实现登录和权限验证的示例,代码完整下载后可以直接运行
Springboot+Shiro记录用户登录信息并获取当前登录用户信息的实现代码
08-19
主要介绍了Springboot+Shiro记录用户登录信息,并获取当前登录用户信息,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Springboot+shiro单点登录实现.md
09-15
Springboot+shiro单点登录实现,本文档是单点登录的全部源代码。
springboot+用户登录+用户管理
06-05
实现用户登录,管理等
Spring boot通过HttpSessionListener监听器统计在线人数的实现代码
08-28
主要介绍了Spring boot通过HttpSessionListener监听器统计在线人数的实现代码,非常不错,具有参考借鉴价值,需要的朋友可以参考下
shiro获取登录状态用户信息
08-04
shiro根据session获取登录状态用户信息
shiro实现单点登录(一个用户同一时刻只能一个地方登录)
09-01
主要介绍了shiro实现单点登录(一个用户同一时刻只能一个地方登录)的相关资料,非常不错,具有参考借鉴价值,感兴趣的朋友一起学习吧
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
springboot+shiro+layuimini实现后台管理系统的权限控制
Springboot2.x+Websocket+js实现实时在线文本协同编辑,并展示协同用户
龙飞的博客
01-31 4550
展示当前用户以及同时编辑文本的人员名称。编写WebSocketConfig和WebSocketHandler配置类,实现对WebSocket的配置。实现面实时在线文本协同编辑,且显示当前同时编辑文本的用户。同时打开多个面,当编辑信息时会显示到同时编辑的用户列表。上面实现为简易实现,仅供参考,可能并不适用一些业务场景。当前用户点击保存时推出当前同时编辑的用户列表。//可以选择没人编辑的时候隐藏当前列表。好久没写前端了,写起来有点费劲!//获取当前文本同时编辑的用户。//点击保存后输入框变为只读。
解决同一浏览器登录多个账户session共享问题
热门推荐
不会写博客
10-11 3万+
首先session是同一PC同一浏览器共享的.比如如下代码:public void doPost(HttpServletRequest request, HttpServletResponse response)throws ServletException, IOException { HttpSession hs = request.getSession();
spring-boot 统计实时在线人数
MiChong的博客
03-06 1万+
1、配置pom文件依赖 &lt;!--统计实时人数--&gt; &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-websocket&lt...
springboot统计当前在线人数,springboot使用HttpSessionListener 监听器统计当前在线人数,拿来即用,不忽悠
qq_38091831的博客
09-30 1万+
原理就是很简单,就是利用HttpSessionListener 监听session的创建和销毁,然后定义个静态变量存储在线人数的变化。 说两种方式,第一种是使用配置类,第二种是使用@WebListener注解,都差不多 方式一:使用配置类 1.创建session监听器 package com.sdsft.pcweb.common.listener; import javax.servl...
springboot+shiro+jwt获取当前登录用户
最新发布
09-01
Spring Boot中使用Shiro和JWT获取当前登录用户,可以按照以下步骤进行: 1. 配置Shiro和JWT:在Spring Boot的配置文件中配置Shiro和JWT,包括配置Shiro的Realm、SessionManager和SecurityManager,以及配置JWT的密钥、过期时间等参数。 2. 创建ShiroRealm:继承Shiro的AuthorizingRealm类,重写doGetAuthenticationInfo和doGetAuthorizationInfo方法,用于验证用户身份和获取用户权限信息。 3. 创建JWT工具类:实现生成JWT、解析JWT和验证JWT的方法。 4. 创建登录接口:在登录接口中,验证用户的身份和密码是否正确,并生成JWT返回给客户端。 5. 创建获取当前登录用户接口:在需要获取当前登录用户的接口中,从请求头或请求参数中获取JWT,并解析JWT获取用户信息。 6. 配置Shiro的过滤链:在Spring Boot的配置类中配置Shiro的过滤链,将需要验证用户身份的接口配置为需要登录认证。 7. 编写前端代码:在前端面中,发送登录请求获取JWT,并在需要获取当前登录用户地方带上JWT发送请求。 总结:通过配置Shiro和JWT,重写ShiroRealm,创建JWT工具类,并在登录和获取用户接口中进行相关操作,可以实现Spring Boot中使用Shiro和JWT获取当前登录用户的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值