继续说说spring security之并发控制(Concurrency Control)

最新推荐文章于 2023-02-27 22:44:19 发布
最新推荐文章于 2023-02-27 22:44:19 发布
阅读量357 收藏
点赞数
文章标签: java 数据库 web.xml
原文链接:http://www.cnblogs.com/huangjiandong2012/p/4040030.html
版权

定义,作用,说明:

Concurrency Control:并发控制,主要用于避免同一用户多次登录,重复登录以及包括相关的session管理--具体官网---》

先看官网:http://docs.spring.io/autorepo/docs/spring-security/4.0.0.CI-SNAPSHOT/reference/htmlsingle/#session-mgmt

官网的并发控制已经说得比较清楚,但是偏偏有人(例如我)重写了(自定义了)验证的方法,导致了失效的问题,至此,一起说说spring security之并发控制配置以及相关编写:

分为三种方式:

基本配置:

web.xml 加入监听

<listener>
  <listener-class>
    org.springframework.security.web.session.HttpSessionEventPublisher
  </listener-class>
</listener>

 

第一种,入门试(简单配置)没有自定义了spring security验证的

<http>
  ...
  <session-management>
     <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
  </session-management>
</http>

或者

<http>
  ...
  <session-management>
     <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
  </session-management>
</http>

区别在于前者剔除上一个用户,后者第二个不给登录

记住前提:没有自定义验证方法,官网:

If you are using a customized authentication filter for form-based login, then you have to configure concurrent session control support explicitly. More details can be found in the Session Management chapter.

但如果自定义了自定义的UserDetails 则需要重定义equal和hashcode

 

第二种方法:

打开官网其实已经说得很清楚了。。。。

还不清楚再看来自iteye的网友 http://sb33060418.iteye.com/blog/1953515 

 

第三种方法(我就是用这种。。。)

首先看看我的验证(使用程序的方法去调用,很大限度的自定义了验证)

    public LoginInfo login(@RequestParam(defaultValue="") String username,@RequestParam(defaultValue="") String password,HttpServletRequest request,HttpServletResponse response){
        if(!checkValidateCode(request)){
            return new LoginInfo().failed().msg("验证码错误!");
        }
        username = username.trim();
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
/*        DetachedCriteria detachedCriteria = DetachedCriteria.forClass(CwSysUser.class,"cwSysUser");
        detachedCriteria.add(Restrictions.eq("userNo", username));
        if(cwSysUserService.countUser(detachedCriteria)==0){
            return new LoginInfo().failed().msg("用户名: "+username+" 不存在.");
        }
*/        try {
            Authentication authentication = myAuthenticationManager.authenticate(authRequest); //调用loadUserByUsername
            SecurityContextHolder.getContext().setAuthentication(authentication);
            HttpSession session = request.getSession();
            session.setAttribute("SPRING_SECURITY_CONTEXT", SecurityContextHolder.getContext()); // 这个非常重要,否则验证后将无法登陆
            sas.onAuthentication(authentication, request, response);
            return new LoginInfo().success().msg(authentication.getName());
        }catch (AuthenticationException ex) {
            if(ex.getMessage()==null){
                return new LoginInfo().failed().msg("用户名不存在.");
            }
            return new LoginInfo().failed().msg("用户名或密码错误");
        }
    }

说明:

Authentication authentication = myAuthenticationManager.authenticate(authRequest); //这里就是在程序中用
myAuthenticationManager调用了验证信息,基于myAuthenticationManager在下面xml的配置重新写了loadUserByUsername方法
 sas.onAuthentication(authentication, request, response);// 这里就是手动调用了并发控制(在xml做了注入配置)

配置spring-security.xml (配置基本和二差不错,但是少了自定义登录拦截配置)

    <custom-filter position="CONCURRENT_SESSION_FILTER" ref="concurrencyFilter" />
        <session-management
            session-authentication-strategy-ref="sas" />
    </http>

    <beans:bean id="concurrencyFilter"
        class="org.springframework.security.web.session.ConcurrentSessionFilter">
        <beans:property name="sessionRegistry" ref="sessionRegistry" />
        <beans:property name="expiredUrl" value="/session-expired.htm" />
    </beans:bean>

    <beans:bean id="sas"
        class="org.springframework.security.web.authentication.session.CompositeSessionAuthenticationStrategy">
        <beans:constructor-arg>
            <beans:list>
                <beans:bean
                    class="org.springframework.security.web.authentication.session.ConcurrentSessionControlAuthenticationStrategy">
                    <beans:constructor-arg ref="sessionRegistry" />
                    <beans:property name="maximumSessions" value="1" />
                </beans:bean>
                <beans:bean
                    class="org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy">
                </beans:bean>
                <beans:bean
                    class="org.springframework.security.web.authentication.session.RegisterSessionAuthenticationStrategy">
                    <beans:constructor-arg ref="sessionRegistry" />
                </beans:bean>
            </beans:list>
        </beans:constructor-arg>
    </beans:bean>

    <beans:bean id="sessionRegistry"
        class="org.springframework.security.core.session.SessionRegistryImpl" />

    <authentication-manager alias="myAuthenticationManager">
        <authentication-provider user-service-ref="cwSysUserDetailsService">  <!-- 数据库提供者 -->
            <password-encoder hash="md5"></password-encoder>
        </authentication-provider>
    </authentication-manager>

 

 

至此,完成。。。。。

非常感谢:stackoverflow和ma4的自问自答,这种精神很想点赞,可惜要登录,要登录就是要FQ,可惜点了半天还没有出来。欲跋千山,涉万水,翻过高墙,穿过荒原,只为跟你说声:谢谢。

http://stackoverflow.com/questions/26041756/concurrency-control-is-not-working

 

转载于:https://www.cnblogs.com/huangjiandong2012/p/4040030.html

weixin_30293079
关注
SpringSecurity---实现会话并发控制--对浏览器的唯一性(单机版)
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
04-16 229
package com.zcw.demospringsecurity.demo10; import org.springframework.context.annotation.Bean; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframew...
spring-security(七)java config-sample之concurrency
高枫的博客
02-15 142
前言: 在实际应用中,我们可能会限制一个用户同时登录同一个应用的次数。例如,我们希望系统中只有一个‘张三’能登录,从而阻止用户‘张三’利用两个不同的session进入我们的web应用中,为此spring security为我们提供了以下两种策略实现这个功能: [list] [*]当同样的用户再次登录的时候,就将前一次登录过的session信息自动设置成过期 [*]直接报出一个错误,提示...
spring security 同步session控制
dahuil1986的专栏
11-01 202
[color=darkred][b][size=medium]原文链接地址[/size][/b][/color]:[url]http://bigcat.easymorse.com/?p=28[/url] 如果你希望限制单个用户只能登录到你的程序一次,Spring Security通过添加下面简单的部分支持这个功能。 首先,你需要把下面的监听器添加到你的web.xml文件里,让Spring S...
(SSM框架)memcached整合Spring基于Cache注解.
02-28
使用Spring,SpringMVC,mybatis框架 将memcached和Spring集成,基于Spring原Cache注解
Spring Security实现多次登录失败后账户锁定功能
08-25
当用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。今天小编给大家分享Spring Security实现多次登录失败后账户锁定功能,感兴趣的朋友一起看看吧
使用Spring Security控制会话的方法
08-26
本文将详细介绍如何使用 Spring Security 控制会话,包括会话的创建、管理和并发控制。 会话创建策略 Spring Security 提供了四种会话创建策略:always、ifRequired、never 和 stateless。这些策略可以在 Java ...
SpringSecurity3.1.2控制一个账户同时只能登录一次
06-01
<concurrency-control max-sessions="1" error-if-maximum-exceeded="true" session-registry-ref="sessionRegistry" /> ... ``` 上述配置将`PmcConcurrentSessionControlStrategy`应用于HTTP安全配置,...
spring security 参考手册中文版
02-01
9.5 Spring Security中的访问控制(授权) 84 9.5.1安全和AOP建议 84 9.5.2安全对象和AbstractSecurityInterceptor 85 什么是配置属性? 85 RunAsManager 86 AfterInvocationManager 86 扩展安全对象模型 87 9.6本地...
初识 Spring Security - v1.1.pdf
08-27
- **concurrency-control**:控制用户并发登录的数量。 - **session固定攻击保护**:通过重写session ID等方式来防止session固定攻击。 ##### 14. **权限鉴定基础** - **Spring Security 的 AOPAdvice 思想**:...
spring security 3.x session-management 会话管理失效
08-03
例如,可以添加`<concurrency-control>`子元素来设置并发会话策略。 - `<session-management>`还可以配置`<session-fixation-protection>`来开启会话固定防护。 通过以上知识点,我们可以构建一个完整的Spring ...
spring security2中如何进行同步session控制
symgdwyh的专栏
07-23 3911
如果你希望限制单个用户只能登录到你的程序一次,Spring Security 通过添加下面简单的部分支持这个功能。首先,你需要把下面的监听器添加到你的web.xml文件里,让Spring Security 获得session 生存周期事件: org.springframework.security.ui.session.HttpSessionEventPublis
springsecurity session并发问题
qq_34886599的博客
07-17 867
首先,先介绍一下登录互顶流程。 假设a账户在1处登录成功,此时,springsecurity将sessionId和用户信息封装成sessionInfomation保存到 SessionRegistry对象中, 然后a账户又在2处登录,此时会从sessionRegistry对象中获取所有sessionInfomation,并判断有没有与当前用户名一样的sessionInfomation,若有,就...
Security实战之认证流程
最新发布
little_sc的博客
02-27 584
基于SpringSecurity 6版本,介绍认证流程、实战演示
SpringSecurity(八)用户数据获取之SpringSecurityContextHolder深度剖析(下)
陈橙橙
03-13 2020
在上一篇中我们大致的明了从Security中获取登录数据的逻辑以及SecurityContextHolder保存数据的策略,最后也遗留下了一个问题。—SpringBoot中不同的请求都是由不同的线程处理的,那为什么每一次请求都还能从SecurityContextHolder中获取到登录用户信息呢,这就得提到SpringSecurity过滤器链中最重要的一环了。 SecurityContextPersistenceFilter 前面几篇我们也介绍了SpringSecurity常见的过滤器,在这些过滤器中.
基于java config的springSecurity(五)--session并发控制
热门推荐
xiejx618的专栏
01-20 1万+
参考spring-security-reference.pdf的Session Management.特别是Concurrency Control小节. 管理session可以做到: a.跟踪活跃的session,显示在线用户,基于将用户下线. b.控制并发,即一个用户最多可以使用多少个session登录,比如设为1,结果就为,同一个时间里,第二处登录要么不能登录,要么使前一个登录失效.
SpringSecurity :解决多端登录没有踢下线
卿小锐的个人博客
04-21 1180
此处有巨坑 问题描述 使用数据库中的用户数据进行登录验证,配置好maximumSessions(1),使用多个浏览器登录同个账号,发现全都可以登陆,先登录的客户端也不会被挤下线。 先解决方法: 自己的User类必须重写两个方法:继承自Object类的hashCode() 和 equals() @Override public boolean equals(Object o) { if (this == o) return true; if (o == null || getCl
Spring Security
weixin_30498807的博客
10-18 202
【转自】http://www.mossle.com/oa/springsecurity/html/index.html 第12章管理会话 多个用户不能使用同一个账号同时登陆系统。 12.1.添加监听器 在web.xml中添加一个监听器,这个监听器会在session创建和销毁的时候通知Spring Security。 <listener> ...
Spring Security并发会话控制示例教程–如何限制Java JEE Web应用程序中的用户会话数...
最佳 Java 编程
06-04 666
如果您不知道, Spring安全性可能会限制用户可以拥有的会话数。 如果要开发Web应用程序,尤其是Java JEE中的安全Web应用程序 ,则必须提出类似于在线银行门户的要求,例如, 每个用户一次只能有一个会话,或者每个用户没有并发会话 。 即使您也可以在不使用Spring安全性但使用Spring安全性的情况下实现此功能,它只是小菜一碟:)。 您只需要在spring安全配置文件中添加几行X...
Spring Security 3.0详解:新特性与配置
而`<concurrency-control>`元素允许设置`max-sessions`属性,限制同一用户账号在同一时间可以并发登录的最大数量。如果超过了这个限制,系统会触发`expired-url`属性指定的URL,通常会提示用户已经有一个活动的会话...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值