springboot+security 动态权限修改session立即失效(六)

最新推荐文章于 2023-07-28 01:05:56 发布
最新推荐文章于 2023-07-28 01:05:56 发布
阅读量1.3w 收藏 23
点赞数 3
分类专栏: 2.5 springboot 2.2 springmvc+mybatis springboot 文章标签: security session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012373815/article/details/71436718
版权

这个是springboot结合security 系列的第六篇博客了,不知不觉已经写了6篇了。中间有写的很不好,不尽人意。文章的排列也是我遇见问题,解决问题的过程,希望大家见谅。

这不,最近出现了这个问题, 一个管理员A登录后,在进行操作,此时管理员B 修改了管理员A 的权限,将管理员A 修改为普通用户,但此时管理员A,需要重新登录权限修改才会起效,但是管理员A此时没有退出登录,还可以进行操作,这就是很危险的问题了。

为了解决这个问题,需要修改管理员A 的权限的时候将管理员A的session 置为无效,强制其登录。

解决思路:

我门都知道当用户登录以后security 会把生成的session 放到 SessionRegistry 里面。那么我门想让session 失效只用找到对应的session,然后将它从SessionRegistry 中剔除出去就好了。

但是查看了源码发现SessionRegistry 是 final 。。。。。这个可怎么办呢?

自己new 一个对象吧,所以我就new SessionRegistry(),并用我自己的SessionRegistry管理session 咯

做法如下:

1. 新配置一个bean

 @Bean
    public SessionRegistry getSessionRegistry(){
        SessionRegistry sessionRegistry=new SessionRegistryImpl();
        return sessionRegistry;
    }

2. 修改WebSecurityConfig

然后在WebSecurityConfig的configure(HttpSecurity http) 方法中添加session管理

 @Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UrlUserService urlUserService;
    @Autowired
    SessionRegistry sessionRegistry;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .authorizeRequests()
                .antMatchers("/login").permitAll()
                .antMatchers("/logout").permitAll()
                .antMatchers("/images/**").permitAll()
                .antMatchers("/js/**").permitAll()
                .antMatchers("/css/**").permitAll()
                .antMatchers("/fonts/**").permitAll()
                .antMatchers("/favicon.ico").permitAll()
                .antMatchers("/").permitAll()
                .anyRequest().authenticated()
                .and()
                .sessionManagement().maximumSessions(1).sessionRegistry(sessionRegistry)
                .and()
                .and()
                .logout()
                .and()
                .httpBasic();
    }   }

3. 使session失效

此时已经完成了一大半了。
只用在修改用户的方法里判断有没有修改用户的权限,如果有修改用户的权限就使session失效。
session失效代码如下:

private void invalidateSession(User user){
        List<Object> o= sessionRegistry.getAllPrincipals();
        for (Object principal : o) {
            if (principal instanceof User) {
                final User loggedUser = (User) principal;
                if (user.getUsername().equals(loggedUser.getUsername())) {
                    List<SessionInformation> sessionsInfo = sessionRegistry.getAllSessions(principal, false);
                    if (null != sessionsInfo && sessionsInfo.size() > 0) {
                        for (SessionInformation sessionInformation : sessionsInfo) {
                            sessionInformation.expireNow();
                        }
                    }
                }
            }
        }
    }

本文代码稍后会提交到 :https://github.com/527515025/springBoot

双斜杠少年
关注
  • 3
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Spring Boot+Spring Security动态权限修改Session刷新权限信息-拦截器方案 - 第29篇
悟纤学院
04-10 2万+
需求缘起 在程序的执行过程中,有时有这么一种需求,需要动态的更新某些角色的权限或某些人对应的权限,当前在线的用户拥有这个角色或拥有这个权限时,在不退出系统的情况下,需要动态的改变的他所拥有的权限。 张三 登录了系统拥有 ROLE_ADMIN,和ROLE_USER 的权限,但是ROLE_ADMIN的权限太强了,不应该给张三,后台管理人员应该可以取消张三的ROLE_ADMIN的权限,那么在张三还在...
SpringBoot/Security使用Redis存储Session,超时时间设置
最新发布
z69183787的专栏
07-16 411
所以可以在注解上配置过期时间来完成我们的需求:@EnableRedissonHttpSession(maxInactiveIntervalInSeconds = 3600)一开始我认为只修改yml文件中的server.servlet.session.timeout=60m就行了,但是发现redis中的过期时间还是1800s。现状:spring boot项目,使用redisson将spring session存入redis中,过期时间为默认的30分钟。需求:延长session过期时间。
SpringBoot退出登录,使session失效
z2431435的博客
04-07 1388
@RequestMapping("/logout") public String logout(HttpSession session){ session.invalidate(); return "/signup"; }
SpringBoot整合SpringSecurity,SESSION 并发管理,同账号只允许登录一次
weixin_30335575的博客
06-02 1048
重写了UsernamePasswordAuthenticationFilter,里面继承AbstractAuthenticationProcessingFilter,这个类里面的session认证策略,是一个空方法,貌似RememberMe也是. public abstract class AbstractAuthenticationProcessingFilter extend...
SpringBoot使用SpringSecuritysession管理
taojin12的博客
02-17 2350
文章目录session管理session超时处理session并发控制(一个账号只在一个平台登录)集群session管理 session管理 session超时处理 直接在配置文件配置 server: servlet: session: timeout: 10 SpringBoot的默认的session过期时间最少为1分钟。session失效跳转地址,在security配...
Springboot + Spring Security 实现前后端分离登录认证及权限控制
热门推荐
m0_68850571的博客
04-10 1万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制 前言     关于Spring Security的概念部分本文不进行赘述,本文主要针对于对Spring Security以及Springboot有一定了解的小伙伴,帮助大家使用Springboot + Spring Security 实现一个前后端分离登录认证的过程。     文章会一步一步循序渐进的带大家敲一遍代码。最终的代码请看最后。     代码中我用到了插件lombok来生成实体的getter/set
Java 之SpringBoot+SpringSecurity+Vue实现后台管理系统的开发【二、后端】
m0_67265464的博客
07-27 1826
从零开始搭建一个项目骨架,最好选择合适熟悉的技术,并且在未来易拓展,适合微服务化体系等。所以一般以Springboot作为我们的框架基础,这是离不开的了。然后数据层,我们常用的是Mybatis,易上手,方便维护。但是单表操作比较困难,特别是添加字段或减少字段的时候,比较繁琐,所以这里我推荐使用MybatisPlus(https),为简化开发而生,只需简单配置,即可快速进行CRUD操作,从而节省大量时间。SpringSecurity,使用security作为我们的权限控制和会话控制的框架。...
idea+springboot+security+hibernate+springmvc+Druid创建web项目多个子模块记录
Shuo的博客
02-19 923
1.打开idea创建项目 1.1 创建空白项目 选择maven,然后创建空白的 修改对应的信息,组和工件等 然后点完成,自动跳转到项目打开界面 另外,特别加上注解吧,防止以后忘了 另外再加上,怎么调整默认位置,右键项目,然后选择打开模块设置 点对应的模块,然后再点对应的标记为就行了,右边会显示,对应的说明 也可以直接右键文件夹,然后选择标记为 1.2创建子模块,这里就采用util,common,web三个子模块分类吧 右键项目,然后选择 选...
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
m0_67392182的博客
07-29 1430
token是无状态的,后端不需要记录信息,每次请求过来进行解密就能得到对应信息。session是有状态的,需要后端每次去检索id的有效性。不同的session都需要进行保存,但也可以设置单点登录,减少保存的数据。session与token的选择是空间与时间博弈,为什么这么说呢,是因为token不需要保存,不占存储空间,但每次访问都需要进行解密,消耗了一定的时间。在一般的前后端分离项目中,token展现出了它的优势,成为了比session更好的选择userlist')")});}...
【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码)
黄团团的个人博客
07-28 5530
最近在学习SpringSecurity的过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurity+JWT+Redis完整的项目,从0到1写完感觉还是收获到不少的,于是我把我完整的笔记写成博客分享给大家,算是比较全的一个项目了,仅供大家参考和学习哦!
springsecurity sessionregistry session共享_Spring Security 多种加密方案共存,老破旧系统整合利器!...
weixin_39950552的博客
11-26 665
松哥给最近连载的 Spring Security 系列也录制了视频教程,感兴趣的小伙伴请戳这里->Spring Boot+Vue+微人事视频教程(Spring Boot 第十章就是 Spring Security)。关于密码加密的问题,松哥之前已经和大家聊过了,参考:Spring Boot 中密码加密的两种姿势!这篇文章中,松哥给大家介绍了两种密码加密方案,但是两种都是独立使用的!...
springsecurity sessionregistry session共享_要学就学透彻!Spring Security 中 CSRF 防御源码解析...
weixin_39705018的博客
12-13 274
今日干货刚刚发表查看:66666回复:666公众号后台回复 ssm,免费获取松哥纯手敲的 SSM 框架学习干货。上篇文章松哥和大家聊了什么是 CSRF 攻击,以及 CSRF 攻击要如何防御。主要和大家聊了 Spring Security 中处理该问题的几种办法。今天松哥来和大家简单的看一下 Spring Security 中,CSRF 防御源码。本文是本系列第 19 篇,阅读本系列前面文...
springsecurity实现原理_不用 Spring Security 可否?试试这个小而美的安全框架
weixin_39881387的博客
11-26 274
写在前面在一款应用的整个生命周期,我们都会谈及该应用的数据安全问题。用户的合法性与数据的可见性是数据安全中非常重要的一部分。但是,一方面,不同的应用对于数据的合法性和可见性要求的维度与粒度都有所区别;另一方面,以当前微服务、多服务的架构方式,如何共享Session,如何缓存认证和授权数据应对高并发访问都迫切需要我们解决。Shiro的出现让我们可以快速和简单的应对我们应用的数据安全问题Shiro介绍...
SpringSecurity (七)session管理(会话管理)
weixin_43189971的博客
07-19 1331
1.默认会话管理(t掉之前): .sessionManagement().maximumSessions(1).and().and() 2.禁止登录会还管理 .sessionManagement().maximumSessions(1) .maxSessionsPreventsLogin(true).and().and() 3.为什么要用.add().add() 4.为什么用两个浏览器测试 5.配置会话管理的Session销毁监听器......
spring security3教程系列--如何踢出用户
pan-zy的专栏
09-18 928
本文章摘编、转载需要注明来源 http://write.blog.csdn.net/postedit/8572467   对于spring security我个人是比较喜欢的一个安全框架,我们的系统中一般需要提供强制将用户踢出的功能,这个功能security也有提供, 首先我们要操作需要获取sessionRegistry中认证用户的所有SessionInformation,然后逐个
spring如何实现权限实时生效,如何获取在线用户,getAllPrincipals()为空
TingSty小z的博客
10-27 1447
spring security权限修改后无法实时更新,由于使用的spring security权限控制,并且在用户登录时,将该时刻用户的权限(authority)读到用户的UserDetails(org.springframework.security.core.userdetails.UserDetails)类中,如果用户不主动重新登录,那么这个写入到session中的类无法刷新。需要获取当前spring服务的登录用户,哪些用户在登录状态,我大致思路和这个类似,也是用。
SpringBoot集成Security,getAllPrincipals为空的问题
aroudy1的博客
08-27 2610
SpringBoot基于注解的形式集成SecuritysessionRegistry.getAllPrincipals()方法获取到的已经登录的用户信息集合为空,试了网上说的各种方法都无法解决。最终找到了解决办法,如下所示: http.seesionManagemant().sessionAuthenticationStrategy(new ...) .maximumSessions(1) .expiredUrl("/login") .sessionRefistry(sessi
Spring Security——SessionManagement中InvalidSessionStrategy自定义——简单跳过Fitter过滤刷新Session
无限迭代中......
02-16 2631
需求分析 解决方案 创建一个新的Session,并且重定向到原请求地址。 /** * @author ShenTuZhiGang * @version 1.0.0 * @date 2021-02-16 21:48 */ @Slf4j @Component public class CustomSimpleIgnoreInvalidSessionStrategy implements InvalidSessionStrategy { private boolean creat.
springboot+springboot security+vue实现动态路由
01-28
SpringBoot+SpringSecurity+Vue中实现动态路由的过程如下: 1. 在后端(SpringBoot)中,首先需要定义一个权限表,用于存储所有的权限信息,包括权限名称、权限标识等。 2. 在前端(Vue)中,需要定义一个路由表,用于存储所有的路由信息,包括路由路径、组件名称等。 3. 后端需要提供一个接口,用于获取当前用户的权限列表。该接口会根据用户的角色查询对应的权限,并返回给前端。 4. 前端在登录成功后,会调用后端接口获取当前用户的权限列表,并将权限列表存储到本地(如localStorage或vuex)中。 5. 前端在路由跳转时,会根据当前用户的权限列表动态生成路由。可以通过遍历权限列表,根据权限标识匹配路由表中的路由信息,将匹配到的路由添加到路由表中。 6. 前端在生成路由后,需要使用Vue Router的addRoutes方法将动态生成的路由添加到路由表中。 7. 前端在路由跳转时,会根据用户的权限判断是否有权限访问该路由。可以通过导航守卫的beforeEach方法,在路由跳转前进行权限判断。 8. 后端可以使用Spring Security的注解对接口进行权限控制。可以通过在接口上添加注解,指定需要的权限才能访问该接口。 9. 后端在接口调用时,可以通过从redis中获取当前用户的权限列表,并进行权限判断。 10. 前端和后端通过接口交互,实现动态路由的权限控制。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值