spring security(七) session 并发,一个用户在线后其他的设备登录此用户失败

最新推荐文章于 2024-07-31 10:27:53 发布
最新推荐文章于 2024-07-31 10:27:53 发布
阅读量1.5w 收藏 31
点赞数 3
分类专栏: 2.5 springboot springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012373815/article/details/77408306
版权

这又是 一片 关于security 的文章,用于解决 session 并发问题 ,同时只有一个用户在线。 有一个用户在线后其他的设备登录此用户失败。

本文有两个实现方法,第一种实现方法稍微繁琐。
第二种方法有个小bug 但是可以通过前端的配合解决此bug。

本文代码,是基于 springboot+security restful权限控制官方推荐(五) 的代码

方法一

1. 修改security配置

修改 WebSecurityConfig 文件
添加 SessionRegistry 和 httpSessionEventPublisher
在configure 方法中 添加 maximumSessions(1).maxSessionsPreventsLogin(true).sessionRegistry(sessionRegistry) 配置

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
     private  CustomUserService customUserService;
    @Autowired
    SessionRegistry sessionRegistry;

    @Autowired
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customUserService).passwordEncoder(new BCryptPasswordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .authorizeRequests()
                .antMatchers("/users/**")
                .authenticated()
                .antMatchers(HttpMethod.POST)
                .authenticated()
                .antMatchers(HttpMethod.PUT)
                .authenticated()
                .antMatchers(HttpMethod.DELETE)
                .authenticated()
                .antMatchers("/**")
                .permitAll()
                .and()
                .sessionManagement().maximumSessions(1).maxSessionsPreventsLogin(true).sessionRegistry(sessionRegistry);
        http.httpBasic();
    }

    @Bean
    public SessionRegistry getSessionRegistry(){
        SessionRegistry sessionRegistry=new SessionRegistryImpl();
        return sessionRegistry;
    }

    @Bean
    public ServletListenerRegistrationBean httpSessionEventPublisher() {
        return new ServletListenerRegistrationBean(new HttpSessionEventPublisher());
    }
}

2. UserDetails 添加比较

修改 实现 UserDetails 接口的类,一般都是 user 实体。

因为SpringSecurity是通过管理UserDetails对象来实现用户管理的,按照上一步的原理,是需要进行比较实现效果的,然后呢,类的比较是不能用==比较的,类之间的比较是通过类的equals方法进行比较的。

我们现在开始重写equals方法吧,关于重写的规则是:如果要重写equals方法,那么就必须要重写toStirng方法,如果要重写toString方法就最好要重写hashCode方法,所以我们需要在自定义的User对象中重写三个方法,hashCode、toString和equals方法。

@Override
    public String toString() {
        return this.username;
    }

    @Override
    public int hashCode() {
        return username.hashCode();
    }

    @Override
    public boolean equals(Object obj) {
        return this.toString().equals(obj.toString());
    }

3. loadUserByUsername 方法 添加相同用户检测代码

@Service
public class CustomUserService implements UserDetailsService { //自定义UserDetailsService 接口

    @Autowired
    UserDao userDao;
    @Autowired
    private SessionRegistry sessionRegistry;
    private static final org.slf4j.Logger logger = LoggerFactory.getLogger(CustomUserService.class);

    @Override
    public UserDetails loadUserByUsername(String username) { //重写loadUserByUsername 方法获得 userdetails 类型用户

        SysUser user = userDao.findByUserName(username);
        if(user == null){
            throw new UsernameNotFoundException("用户名不存在");
        }
        //用户已经登录则此次登录失败
        List<Object> o = sessionRegistry.getAllPrincipals();
        for ( Object principal : o) {
            if (principal instanceof SysUser && (user.getUsername().equals(((SysUser) principal).getUsername()))) {
                throw new SessionAuthenticationException("当前用户已经在线,登录失败!!!");
            }
        }
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        //用于添加用户的权限。只要把用户权限添加到authorities 就万事大吉。
        for(SysRole role:user.getRoles())
        {
            authorities.add(new SimpleGrantedAuthority(role.getName()));
            logger.info("loadUserByUsername: " + user);
        }
        user.setGrantedAuthorities(authorities); //用于登录时 @AuthenticationPrincipal 标签取值
        return user;
    }

}

4. 定时session失效

由于我们 添加了SessionRegistry 所以session 失效要自己维护一下。写一个定时事件,

    /**
     * 超时事件检查
     */
    @Scheduled(cron = "0 0/1 * * * ?")
    public void ScanUserOnline() {
    //获取所有在线用户
        List<User> users = userDao.getUsersWithOnLine(4);
        users.stream().parallel().forEach(user -> {
        //通过时间判断是否session过期
            if (CommonUtil.CalculationData(user.getAccessLastTime(),30)) {
                //如果过期则设置用户为下下线状态
                updateOnline(user.getId(),4,null);
            //session 置为失效  SessionUtil.expireSession(null,user,sessionRegistry);
            }
        });
    }


 /**
     * session 失效
     * @param request
     * @param sessionRegistry
     */
    public static void expireSession(HttpServletRequest request,User user, SessionRegistry sessionRegistry){
        List<SessionInformation>  sessionsInfo = null;
        if (null != user) {
            List<Object> o = sessionRegistry.getAllPrincipals();
            for ( Object principal : o) {
                if (principal instanceof User && (user.getUsername().equals(((User) principal).getUsername()))) {
                    sessionsInfo = sessionRegistry.getAllSessions(principal, false);
                }
            }
        }else if (null != request ) {
            SecurityContext sc = (SecurityContext) request.getSession().getAttribute("SPRING_SECURITY_CONTEXT");
            if (null != sc.getAuthentication().getPrincipal()) {
                sessionsInfo = sessionRegistry.getAllSessions(sc.getAuthentication().getPrincipal(), false);
                sc.setAuthentication(null);
            }
        }
        if(null != sessionsInfo && sessionsInfo.size() > 0) {
            for (SessionInformation sessionInformation : sessionsInfo) {
                //当前session失效
                sessionInformation.expireNow();
                sessionRegistry.removeSessionInformation(sessionInformation.getSessionId());
            }
        }
    }

5. logout方法修改

 @RequestMapping(value="/offline", method = RequestMethod.GET)
    @ResponseBody
    public String offline (HttpServletRequest request, HttpServletResponse response) {
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        if (auth != null){
            //设置为离线状态
            userService.updateOnline(((User)auth.getPrincipal()).getId(), 4 ,null);
            new SecurityContextLogoutHandler().logout(request, response, auth);
        }
        return "ok";
    }

方法二

方法二就是 http://blog.csdn.net/xusanhong/article/details/53260373 博客写的方法。

bug

不过此方法有个 bug 就是 当用户A在设备1上登录, 在设备2上再次登录 用户A 会被拒绝, 但是 在设备2 上登录 用户B,在用户B不登出的情况下,在设备2 上登录用户A 。此时用户A会登录成功,系统中将会有两个用户A 的session 存在。

解决:这个bug 可以通过于前端的配合规避掉。当前端在login 页面时检测浏览器是否有session,如果有session 就强制跳转到 首页,不允许用户在有session 的情况下,通过在浏览器敲路由的方式进入 login 页面。

1.在WebSecurityConfig 文件中添加配置

.sessionManagement().maximumSessions(1).maxSessionsPreventsLogin(true).sessionRegistry(sessionRegistry)

2.在 UserDetails 添加比较

```
@Override
    public String toString() {
        return this.username;
    }

    @Override
    public int hashCode() {
        return username.hashCode();
    }

    @Override
    public boolean equals(Object obj) {
        return this.toString().equals(obj.toString());
    }

“`

参考:http://blog.csdn.net/xusanhong/article/details/53260373

双斜杠少年
关注
  • 3
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
Spring Security 6.x 系列(14)—— 会话管理之会话固定攻击防护及Session共享
gmHappy
01-03 2730
在上篇 Spring Security 6.x 系列(13)—— 会话管理及源码分析(一) 中了清晰了协议和会话的概念,并对 Spring Security 中的常用会话配置进行了说明,今天我们着重了解会话固定攻击防护和 Session 共享,并对部分源码进行分析。
spring security用户登入失效
taihexuelang的专栏
04-02 1686
常规配置 增加监听web.XML &lt;listener&gt;    &lt;listener-class&gt;      org.springframework.security.ui.session.HttpSessionEventPublisher    &lt;/listener-class&gt;  &lt;/listener&gt; spring-security.XML &lt...
Spring超出最大会话数(Max sessions limit reached: 10000)
最新发布
chen417980762的博客
07-31 344
会话超出了最大会话限制数10000 java.lang.IllegalStateException: Max sessions limit reached: 10000 at org.springframework.web.server.session.InMemoryWebSessionStore$InMemoryWebSession.checkMaxSessionsLimit(InMemoryWebSessionStore.java:276)
chrome登录_Spring Security 自动踢掉前一个登录用户一个配置搞定!
weixin_39753584的博客
11-26 300
今日干货刚刚发表查看:66666回复:666公众号后台回复 ssm,免费获取松哥纯手敲的 SSM 框架学习干货。登录成功后,自动踢掉前一个登录用户,松哥第一次见到这个功能,就是在扣扣里边见到的,当时觉得挺好玩的。自己做开发后,也遇到过一模一样的需求,正好最近的 Spring Security 系列正在连载,就结合 Spring Security 来和大家聊一聊这个功能如何实现。本文是本系...
java 不允许同一账户不同IP 同时登录系统解决办法 兼容IE Firefox
hejiakuo的专栏
06-12 2997
java 解决 不允许用户同时登录系统 不同ip 不同浏览器 ie firefox 轻松解决。
SpringBoot整合SpringSecurity,SESSION 并发管理,同账号只允许登录一次
weixin_30335575的博客
06-02 1048
重写了UsernamePasswordAuthenticationFilter,里面继承AbstractAuthenticationProcessingFilter,这个类里面的session认证策略,是一个空方法,貌似RememberMe也是. public abstract class AbstractAuthenticationProcessingFilter extend...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合了Spring Boot、Spring SecuritySpring Session、Redis、Mybatis-Plus以及Swagger等技术,旨在构建一个强大的、安全的、具有...
java怎么实现踢掉在线用户_Spring Security 自动踢掉前一个登录用户的实现代码
weixin_35060159的博客
02-25 702
登录成功后,自动踢掉前一个登录用户,松哥第一次见到这个功能,就是在扣扣里边见到的,当时觉得挺好玩的。自己做开发后,也遇到过一模一样的需求,正好最近的 Spring Security 系列正在连载,就结合 Spring Security 来和大家聊一聊这个功能如何实现。本文是本系列的第十三篇,阅读前面文章有助于更好的理解本文:1.需求分析在同一个系统中,我们可能只允许一个用户一个终端上登录,一般来...
Springboot +spring security,实现session并发控制及实现原理分析
weixin_40991408的博客
05-25 1777
Springboot +spring security,实现session并发控制及实现原理分析
Spring Boot+Spring Security:获取用户信息和session并发控制
weixin_45863786的博客
03-21 355
说明 (1)JDK版本:1.8 (2)Spring Boot 2.0.6 (3)Spring Security 5.0.9 (4)Spring Data JPA 2.0.11.RELEASE (5)hibernate5.2.17.Final (6)MySQLDriver 5.1.47 (7)MySQL 8.0.12 一、获取当前用户信息 1.1从页面上显示当前登陆的用户名...
关于使用SpringSecurity不能设置Session并发无效、剔除前一个用户无效的核心解决方案
热门推荐
xusanhong的博客
11-21 1万+
那些年掉过SpringSecurity的坑。 最近在研究SpringBoot集成SpringSecurity权限框架的Demo,关于怎么集成,网上一大片的文章,我就不废话多说了,自行百度解决。 我使用的是注解配置,类继承WebSecurityConfigurerAdapter适配器,重写configure(HttpSecurity http)方法配置参数等。 然后是继承Use
Spring security 多登陆页面问题
安然的舞台
03-28 2953
对于多登录界面,要求实现不同的用户,比如前台用户和后台用户,分别在以下情况中实现到不同页面的转向:            1、在未登录时,访问受限页面            2、在登录以后,转向到不同的默认页面,比如前台用户转向到个人中心主页,后台用户转向到后台管理页面的首页。            3、在登录失败时,导向到错误页面。            4、在注销登录
java检查是否同一设备登录,Firebase身份验证登录必须允许单个设备登录
weixin_42519725的博客
03-10 683
我通过firebase身份验证对上述问题进行了大量搜索,经过大量研究后,我最终得到了以下解决方案,该解决方案按照我的要求工作 .首先firebase没有在他们的库中提供这个,所以我们需要在这里应用我们的自定义逻辑来实现我们的应用程序中的这个1会话用户登录 .Step 1: 您需要在数据库的根目录中添加新子项“ SignIn ” .Step 2: 虽然 Auth.auth().signIn() 在该...
防止同一用户在不同地方下登陆的简单实现
Junio_2014的专栏
06-14 983
基本的实现原理很简单,就是通过检测当前登陆请求的session是否为已登录状态的session,如果不是的话,说明你的账号在另一个地方登陆,这样会将之前登陆的账号踢下线,本质的操作就是,被踢出下线的请求会执行session.invalidate()。这种操作不能防止第二个用户是恶意登陆的,只是单纯的只允许一个在线session。大家如果有什么更好的方案,希望提出来,一起进步学习。1、每次登陆的时...
Spring Security控制只能有一个用户在线
freelyeagle的博客
01-09 1725
在最近的一个项目中需要用到同时只能允许一个用户在线,该系统是一个线上考试系统,要求同一个考生在不同的浏览器上同时只能有一个在线。框架用的Spring SecuritySpring Security本身时有关于Session控制的,只需要在配置文件中进行配置就可以实现。 第一步需要在web.xml里配置HttpSessionEventPublisher,如下所示,只要在web.xml文件里加上这...
SpringBoot使用SpringSecurity(三)_登录及退出管理
DreamsArchitects的博客
11-11 987
学习SpringSecurity 第三集一、自定义认证成功、失败处理CustomAuthenticationSuccessHandlerCustomAuthenticationFailureHandlerSpringSecurityConfig配置类测试二、退出登录SpringSecurityConfig配置类LogoutSuccessHandler微信公众号 学习SpringSecurity 第一集 学习SpringSecurity 第二集 一、自定义认证成功、失败处理 在SpringSecurityCo
java不允许多终端登录_【小技巧】spring security oauth2 令牌实现多终端登录状态同步...
weixin_32009121的博客
02-25 614
目的说明解决不同客户端使用token,各个客户端的登录状态必须保持一致,退出状态实现一致。同上述问题类似如何解决不同租户相同用户名的人员的登录状态问题。默认的DefaultTokenServices 创建逻辑@Transactionalpublic OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) t...
SpringSecurity-07】同账号多端登陆踢下线
weixin_45717355的博客
11-29 1286
SpringSecurity 同账号多端登陆踢下线 限制最大登陆用户数量 true表示已经登陆就不允许再次登陆 false表示允许再次登陆但是之前的登陆账号会被踢下线 自定义处理策略类CustomExpiredSessionStrategy 页面跳转的方式 public class CustomExpiredSessionStrategy implements SessionInformationExpiredStrategy { //页面跳转的方式 //页面跳转的处理逻
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值