用shiro+springboot+mybatis实现禁止账号重复登录

最新推荐文章于 2024-07-26 19:01:04 发布
最新推荐文章于 2024-07-26 19:01:04 发布
阅读量1.2w 收藏 13
点赞数 2
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunsgne_ac/article/details/79289770
版权

springboot和mybatis整合在这我就不说了有兴趣的自己去找一下,网上有很多

下面介绍一下和shiro整合的一些配置以及怎么防止用户重复登录,什么叫防止重复登录?

嗯........ 好吧,我解释一下就是,一个账号在同一时间只能在一处登录,比如张三在北京登录了,还没有下线呢,李四也用同一账号在上海登录了,那就会把北京的张三挤下来,张三如果不服,也可以把李四挤下来。就像qq在电脑端一样,后面的会把前面的挤下线。

好,明白了。

下面进行技术讲解,哈哈哈哈


stringboot提倡习惯大于约定,所以基本没有xml文件配置,那些通过xml配置产生的交给Spring管理的bean都变成了这样

@Bean(name="sessionDAO")
public MemorySessionDAO getMemorySessionDAO()
{
      return new MemorySessionDAO();
}

@Bean注解写在函数上面即表示该函数产生的bean交给了Spring管理,默认为函数的名字为bean的id


可以用@Qualifier("bean的id")来写在参数前


或者用@Resource("")写在变量上面



跑偏了,跑偏了


下面直接上shiro和Spring整合的配置文件吧


import org.apache.shiro.cache.MemoryConstrainedCacheManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.eis.MemorySessionDAO;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

@Configuration
public class ShiorConfig {


    @Bean(name="sessionDAO")
    public MemorySessionDAO getMemorySessionDAO()
    {
          return new MemorySessionDAO();
    }

    @Bean(name = "sessionIdCookie")
    public SimpleCookie getSimpleCookie()
    {
        SimpleCookie simpleCookie = new SimpleCookie();
        simpleCookie.setName("SHRIOSESSIONID");
        return simpleCookie;
    }

    //配置shiro session 的一个管理器
    @Bean(name = "sessionManager")
    public DefaultWebSessionManager getDefaultWebSessionManager(@Qualifier("sessionDAO") MemorySessionDAO sessionDAO,
                                                                @Qualifier("sessionIdCookie") SimpleCookie simpleCookie)
    {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionDAO(sessionDAO);
        sessionManager.setSessionIdCookie(simpleCookie);
        return sessionManager;
    }

    //配置session的缓存管理器
    @Bean(name= "shiroCacheManager")
    public MemoryConstrainedCacheManager getMemoryConstrainedCacheManager()
    {
        return new MemoryConstrainedCacheManager();
    }

    @Bean(name="shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager manager) {

        //安全事务管理器工厂类
        ShiroFilterFactoryBean bean=new ShiroFilterFactoryBean();
        bean.setSecurityManager(manager);
        //配置未登录时拦截到的路径
        bean.setLoginUrl("/user/notlogin");

        //配置访问权限
        LinkedHashMap<String, String> filterChainDefinitionMap=new LinkedHashMap<>();
        filterChainDefinitionMap.put("/user/validateCode","anon");//匿名访问验证码
        filterChainDefinitionMap.put("/user/insert", "anon");//匿名注册
        filterChainDefinitionMap.put("/user/login", "anon"); //匿名登录
        filterChainDefinitionMap.put("/AidocPlatform/index.html", "anon"); //匿名访问
        filterChainDefinitionMap.put("/u/**", "anon"); //匿名登录
        filterChainDefinitionMap.put("/*", "authc");//表示需要认证才可以访问
        filterChainDefinitionMap.put("/**", "authc");//表示需要认证才可以访问
        filterChainDefinitionMap.put("/*.*", "authc");
        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return bean;
    }
    //配置核心安全事务管理器
    @Bean(name="securityManager")
    public SecurityManager securityManager(@Qualifier("authRealm") AuthRealm authRealm,
                                           @Qualifier("shiroCacheManager") MemoryConstrainedCacheManager shiroCacheManager,
                                           @Qualifier("sessionManager") DefaultWebSessionManager sessionManager) {
        System.err.println("--------------shiro已经加载----------------");
        DefaultWebSecurityManager manager=new DefaultWebSecurityManager();
        manager.setRealm(authRealm);
        manager.setCacheManager(shiroCacheManager);
        manager.setSessionManager(sessionManager);
        return manager;
    }
    //配置自定义的权限登录器
    @Bean(name="authRealm")
    public AuthRealm authRealm(@Qualifier("credentialsMatcher") CredentialsMatcher matcher) {
        AuthRealm authRealm=new AuthRealm();
        authRealm.setCredentialsMatcher(matcher);
        return authRealm;
    }
    //配置自定义的密码比较器
    @Bean(name="credentialsMatcher")
    public CredentialsMatcher credentialsMatcher() {
        return new CredentialsMatcher();
    }
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
        return new LifecycleBeanPostProcessor();
    }
    @Bean
    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator creator=new DefaultAdvisorAutoProxyCreator();
        creator.setProxyTargetClass(true);
        return creator;
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager") SecurityManager manager) {
        AuthorizationAttributeSourceAdvisor advisor=new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(manager);
        return advisor;
    }

自定义密码比较器


import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;

public class CredentialsMatcher extends SimpleCredentialsMatcher {

    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        UsernamePasswordToken utoken=(UsernamePasswordToken) token;
        //获得用户输入的密码:(可以采用加盐(salt)的方式去检验)
        String inPassword = new String(utoken.getPassword());
        //获得数据库中的密码
        String dbPassword=(String) info.getCredentials();
        //进行密码的比对
        return this.equals(inPassword, dbPassword);
    }

}


自定义Realm文件


import ai.medp.aidoc.dto.user.RoleDto;
import ai.medp.aidoc.dto.user.UserDto;
import ai.medp.aidoc.service.UserService;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.session.mgt.eis.SessionDAO;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.ArrayList;
import java.util.List;
import java.util.Set;

public class AuthRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    @Autowired
    private SessionDAO sessionDAO;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {

        UserDto user = (UserDto) principal.fromRealm(this.getClass().getName()).iterator().next();//获取session中的用户
        List<String> permissions = new ArrayList<>();
        Set<RoleDto> roles = user.getRoleDtos();
        if (roles.size() > 0) {
            for (RoleDto role : roles) {
                permissions.add(role.getRole());
            }
        }
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addRoles(permissions);//将权限放入shiro中.
        return info;
    }


    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        //获取用户输入的token
        UsernamePasswordToken utoken = (UsernamePasswordToken) token;
        String username = utoken.getUsername();

        //以下为只允许同一账户单个登录
       Collection<Session> sessions = sessionDAO.getActiveSessions();
        if(sessions.size()>0) {
            for (Session session : sessions) {
                System.out.println("::::::::::::::::" + session);
                //获得session中已经登录用户的名字
                if(null!=session.getAttribute("user")) {
                    String loginUsername = ((UserDto)session.getAttribute("user")).getEmail();
                    System.out.println("::::::::::::::::" + loginUsername);
                    if (username.equals(loginUsername)) {  //这里的username也就是当前登录的username
                        session.setTimeout(0);  //这里就把session清除,
                        System.out.println("清除了");
                    }
                }
            }
        }


        UserDto user = userService.findUserByUserName(username);
        Set<RoleDto> set = userService.getUserPermissionsName(user.getId());
        user.setRoleDtos(set);
        //放入shiro.调用CredentialsMatcher检验密码
        return new SimpleAuthenticationInfo(user, user.getPassword(), this.getClass().getName());
    }
}

咳咳......   敲黑板  关键代码在这,登陆成功时我将用户保存到了shiro提供的session的Attribute中key值时user,所以现在拿到了session之后先判断能不能通过“user”取到值,如果取得到再进行匹配用户的名字(每个用户的名字必须不同)如果匹配上了,就将该session移除,系统会为新登录的用户新建一个session,之前的session失效之后之前的账户就无法继续操作就会被迫下线,当然,这是shiro中过滤器的功劳,大体上的逻辑就是这样,但是这种方法有个效率问题,如果一千万用户在线,那就要遍历一千万次,太慢了,以后再想到有其他什么方法再说吧

Collection<Session> sessions = sessionDAO.getActiveSessions();
        if(sessions.size()>0) {
            for (Session session : sessions) {
                System.out.println("::::::::::::::::" + session);
                //获得session中已经登录用户的名字
                if(null!=session.getAttribute("user")) {
                    String loginUsername = ((UserDto)session.getAttribute("user")).getEmail();
                    System.out.println("::::::::::::::::" + loginUsername);
                    if (username.equals(loginUsername)) {  //这里的username也就是当前登录的username
                        session.setTimeout(0);  //这里就把session清除,
                        System.out.println("清除了");
                    }
                }
            }
        }




sunsgne_AC
关注
专栏目录
springboot集成shiro禁止用户多点登录重复登录剔除
qq_35113996的博客
11-19 1万+
近期用springboot整合shiro,进行了一个小项目。因为shiro只是一个Java安全框架,并不会做重复登录的拦截,当一个用户登录成功后(chrome登录),再用另外一个浏览器登录(IE登录)或者另外一台电脑进行登录,两个都会登录成功,两个不同的session。(题外话:同一个浏览器登录后,再打开一个标签页访问项目会直接进入登录后跳转的页面,两者是同一个session。) 预期目的:不允...
Apache Shiro(三)shiro+SpringBoot+Mybatis-plus
weixin_46122805的博客
04-08 1209
shiro+SpringBoot+Mybatis-plus一、pom.xml二、application.properties三、shiro的配置文件四、html文件五、后端各层文件六、将项目改造成前后端完全分离 首先创建springboot项目,导入相关依赖。 项目结构: 访问流程: 项目启动类: @SpringBootApplication @MapperScan(value = "com.fy.dao") public class SbMyShiroApplication { public stat
springboot(十四):springboot整合shiro-登录认证和权
weixin_34337265的博客
01-11 1954
这篇文章我们来学习如何使用Spring Boot集成Apache Shiro。安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求。在Java领域一般有Spring Security、Apache Shiro等安全框架,但是由于Spring Security过于庞大和复杂,大多数公司会选择Apache Shiro来使用,这篇文章会先介...
SpringBoot入门实战:SpringBoot整合Shiro
最新发布
qq_24428851的博客
07-26 505
SpringBoot是一个用于快速开发Spring应用程序的框架。它的核心是对Spring框架的一层封装,使其更加简单易用。SpringBoot整合Shiro是一种将SpringBootShiro整合的方法,以实现身份验证和授权功能。Shiro是一个强大的Java安全框架,它提供了身份验证、授权、密码存储和会话管理等功能。Shiro可以与Spring框架整合,以实现更强大的安全功能。在本文中,我们将介绍如何将SpringBootShiro整合,以实现身份验证和授权功能。
Shiro+SpringBoot+Mybatis+Redis实现权限系统
ouYang的博客
01-26 2079
这个项目涉及到的技术: SpringBoot,Thymeleaf,MyBaits,Redis,Shiro,JavaMail,EasyUI,Excel导入、导出 下面展示一下界面: 主页: 用户列表: 角色权限授予: 资源列表: 用户角色授予: 这里只是展示一下系统界面,如果有需要源码的,请到公众号...
shiro 没有注销再登录_shiro多账户重复登录问题探究
weixin_39596835的博客
12-21 420
shiro多账户重复登录问题探究最近研究shiro时,想探讨一下,多账户登录时,会不会顶下之前已经登录的账户,于是进行了以下测试:分析可能出现的结果:之后登录的账户会顶下之前登录的账户两次登录的账户会并存考虑到浏览器不同会对结果产生干扰的问题,做了以下的测试步骤:----不同浏览器1.admin通过火狐浏览器登录成功,并且页面展示表明已经验证2.admin通过IE浏览器再次登录,页面展示已经...
spring boot security 防止用户重复登录(原创)
热门推荐
zhuyongru的专栏
09-11 1万+
原理:在认证成功通过后,在显示登录成功页面之前,也就是在SavedRequestAwareAuthenticationSuccessHandler类中操作。 添加一个集合sessionMap用于保存认证成功的会话,键名为会话ID, 每次有用户登录认证通过都要判断一下是否重复登录,如果不是继续执行,将会话保存在集合sessionMap里。 如果是就踢除之前登录过的用户的会话,将旧的会话从集合...
SpringBoot+Shiro+Mybatis+Thymeleaf个人博客前后台管理系统
08-01
Spring Boot、Apache ShiroMyBatis-Plus、Alibaba Druid、Redis、MySQL、Thymeleaf 三、安装 将本项目源码导入本地开发工具(如 IntelliJ IDEA ),本地开发工具需要安装 lombok 插件 安装Mysql数据库:Mysql版本...
基于springBoot + mybatis +vue的会员管理和营销系统源码.zip
10-03
这可以通过SpringBoot的权限框架如Spring Security或者Apache Shiro实现。 **7. API接口** 前端Vue.js与后端SpringBoot之间的通信通常通过RESTful API进行,使用JSON作为数据交换格式。SpringBoot提供了一套完整的...
基于springboot+mybatis-plus+shiro+mysql+layui的仓库物流管理系统.zip
02-25
基于springboot+mybatis-plus+shiro+mysql+layui的仓库物流管理系统.zip 基于spring boot的中小型仓库物流管理系统(springboot+mybatis-plus+shiro+mysql+layui前端框架) 技术栈使用 后端:springbootmybatis-plus...
基于SpringBoot+Shiro+Mybatis+Druid+layui后台管理系统(源码+数据库),系统模板,二次开发
06-16
contentManagerSystem,后台管理系统,采用SpringBoot构建整个项目框架,apacheShiro权限验证,mybatis+druid数据持久化动作,前端采用layui 功能说明 用户管理:简单实现用户新增,编辑,添加角色等功能. 角色管理:简单...
spring boot 防止重复提交实现方法详解
08-25
主要介绍了spring boot 防止重复提交实现方法,结合实例形式详细分析了spring boot 防止重复提交具体配置、实现方法及操作注意事项,需要的朋友可以参考下
SpringBoot+Mybatis+shiro+Mysql
01-30
SpringBoot+Mybatis+shiro+Mysql,简单、易学、易上手
springBoot+mybatis+shiro
05-24
springBoot框架搭建以及mybatisshiro验证登陆,访问http://127.0.0.1:8080/index
防止用户重复登录
06-03
防止用户重复登录,同ID只可登录一个
SpringBoot+Mybatis登录拦截
weixin_73603602的博客
06-25 167
代码比较混乱,提供参考,想修改自行修改。
Shiro同一个账号不允许登陆两次
chuannie2342的博客
09-17 958
步骤如下: 1、获取所有在线用户的Session信息。 2、获取当前登陆人的sessionId。 3、设置与当前登录账号相同,但sessionId不同的session信息超时。 代码如下: if (!Global.TRUE.equals(Global.getConfig("user....
防用户重复登录的方法
weixin_30722589的博客
08-19 202
本例完成的功能就是防止用户重复登录!若用户已经登录,则当其再次登录时,弹出提示框后返回! 实现思路: 用户登录成功后,将用户登录信息存放到Hashtable类型的Application["Online"]里面,其键值为SessionID,其Value值为用户ID;当用户注销时,调用Session.Abandon;在Global.asax里面的SessionEnd事件中,将用户ID从...
Springboot 整合JWT (token)+mybatis+自定义注解 实现简单的登录拦截模块
默默不代表沉默
12-02 3448
这个实例的登录模块大概简单包含以下三个小功能: 用户注册 用户输入帐号密码,后台使用Spring Security的BCryptPasswordEncoder 进行密码加密,存库。 用户登录 用户输入帐号密码,后台查库使用Spring Security的BCryptPasswordEncoder进行密码校验,若登录成功,则返回JWT生成的token,带有过期时间。 token校验 用户...
bootstrap+springboot+mybatis+shiro
05-12
Bootstrap、Spring Boot、MyBatisShiro都是在开发中常用的框架和工具。 Bootstrap是一个流行的前端开发框架,它提供了许多UI组件和样式,简化了Web页面的开发过程,使页面看起来更加美观和易于使用。 Spring ...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值