Shiro - 限制并发人数登录与剔除

最新推荐文章于 2022-04-02 22:22:56 发布
最新推荐文章于 2022-04-02 22:22:56 发布
阅读量199 收藏
点赞数
文章标签: java 
import org.apache.shiro.cache.Cache;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.DefaultSessionKey;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.AccessControlFilter;
import org.apache.shiro.web.util.WebUtils;

import com.agood.pojo.ActiveUser;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import java.io.Serializable;
import java.util.Deque;
import java.util.LinkedList;

/**
 * 
 * @Title: KickoutSessionControlFilter.java
 * @Package com.agood.bejavagod.controller.filter
 * @Description: 同一用户后登陆踢出前面的用户
 * Copyright: Copyright (c) 2016
 * Company:Nathan.Lee.Salvatore
 * 
 * @author leechenxiang
 * @date 2016年12月12日 下午7:25:40
 * @version V1.0
 */
public class KickoutSessionControlFilter extends AccessControlFilter {

    private String kickoutUrl; //踢出后到的地址
    private boolean kickoutAfter = false; //踢出之前登录的/之后登录的用户 默认踢出之前登录的用户
    private int maxSession = 1; //同一个帐号最大会话数 默认1

    private SessionManager sessionManager;
    private Cache<String, Deque<Serializable>> cache;

    public void setKickoutUrl(String kickoutUrl) {
        this.kickoutUrl = kickoutUrl;
    }

    public void setKickoutAfter(boolean kickoutAfter) {
        this.kickoutAfter = kickoutAfter;
    }

    public void setMaxSession(int maxSession) {
        this.maxSession = maxSession;
    }

    public void setSessionManager(SessionManager sessionManager) {
        this.sessionManager = sessionManager;
    }

    public void setCacheManager(CacheManager cacheManager) {
        this.cache = cacheManager.getCache("shiro-kickout-session");
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        Subject subject = getSubject(request, response);
        if(!subject.isAuthenticated() && !subject.isRemembered()) {
            //如果没有登录,直接进行之后的流程
            return true;
        }

        Session session = subject.getSession();
        ActiveUser user = (ActiveUser)subject.getPrincipal();
        String username = user.getUserName();
        Serializable sessionId = session.getId();

        // 同步控制
        Deque<Serializable> deque = cache.get(username);
        if(deque == null) {
            deque = new LinkedList<Serializable>();
            cache.put(username, deque);
        }

        //如果队列里没有此sessionId,且用户没有被踢出;放入队列
        if(!deque.contains(sessionId) && session.getAttribute("kickout") == null) {
            deque.push(sessionId);
        }

        //如果队列里的sessionId数超出最大会话数,开始踢人
        while(deque.size() > maxSession) {
            Serializable kickoutSessionId = null;
            if(kickoutAfter) { //如果踢出后者
                kickoutSessionId = deque.removeFirst();
            } else { //否则踢出前者
                kickoutSessionId = deque.removeLast();
            }
            try {
                Session kickoutSession = sessionManager.getSession(new DefaultSessionKey(kickoutSessionId));
                if(kickoutSession != null) {
                    //设置会话的kickout属性表示踢出了
                    kickoutSession.setAttribute("kickout", true);
                }
            } catch (Exception e) {//ignore exception
            }
        }

        //如果被踢出了,直接退出,重定向到踢出后的地址
        if (session.getAttribute("kickout") != null) {
            //会话被踢出了
            try {
                subject.logout();
            } catch (Exception e) { //ignore
            }
            saveRequest(request);
            
            HttpServletRequest httpRequest = WebUtils.toHttp(request);
            if (ShiroFilterUtils.isAjax(httpRequest)) {
                HttpServletResponse httpServletResponse = WebUtils.toHttp(response);  
                httpServletResponse.sendError(ShiroFilterUtils.HTTP_STATUS_SESSION_EXPIRE);
                return false;
            } else {
                WebUtils.issueRedirect(request, response, kickoutUrl);
                return false;
            }
        }

        return true;
    }
}

首先得要有个过滤器命名为:KickoutSessionControlFilter

然后在shiro.xml中需要这么定义:

<property name="filters">
            <map>
                <entry key="kickout" value-ref="kickoutSessionControlFilter"/>
            </map>
        </property>
<bean id="kickoutSessionControlFilter" class="com.agood.bejavagod.controller.filter.KickoutSessionControlFilter">  
        <property name="cacheManager" ref="shiroEhcacheManager"/>  
        <property name="sessionManager" ref="sessionManager"/> 
        <!-- 是否踢出后来登录的,默认是false;即后者登录的用户踢出前者登录的用户 --> 
        <property name="kickoutAfter" value="false"/>  
        <!-- 同一个用户最大的会话数,默认1;比如2的意思是同一个用户允许最多同时两个人登录 -->
        <property name="maxSession" value="1"/>  
        <property name="kickoutUrl" value="/login.action"/>  
    </bean>

最后修改过滤器配置,拦截所有请求

/** = kickout,authc

 

weixin_34221073
关注
spring boot + shiro 实现单点登陆/并发登入控制 踢出用户功能(禁止用户多点登录或重复登录
Delia_theme的博客
02-20 2501
需求: springboot整合shiro项目。因为shiro只是一个Java安全框架,并不会做重复登录的拦截,当一个用户登录成功后(chrome登录),再用另外一个浏览器登录(IE登录)或者另外一台电脑进行登录,两个都会登录成功,两个不同的session。 预期目的:不允许重复登录,限定一个账号一个用户登陆,并且是挤掉前一个用户(踢出用户),保证一个帐号只能同时一个人使用,例如微信和qq等。 预设解决方法:当第二次登录时,把第一个session剔除 使用的技术其实是 shiro的自定义filter,在sh
RuoYi-Cloud
xinyi_java的博客
09-27 3794
目录 介绍 快速了解 环境部署 项目介绍 后台手册 前端手册 功能组件 模板引擎 组件文档 插件集成 介绍 基于Spring Boot、Spring Cloud & Alibaba的微服务的权限管理系统。 RuoYi-Cloud 是一个 Java EE 分布式微服务架构平台,基于经典技术组合(Spring Boot、Spring Cloud & Alibaba、Vue、Element),内置模块如:部门管理、角色用户、菜单及按钮授权、数据权限、系统参
ShiroShiro - 限制并发人数登录剔除
qwertyuiopasdfghjklzxcvbnm
05-03 976
实现思路 session+user+cache 将用户存进全局变量session中,用于获取,然后将用户存进缓存中,用用户的唯一标识绑定队列,队列中存用户的session,判断队列的长度来识别当前用户的数量,使用队列的先入先出特性来踢出用户 filter代码 import org.apache.shiro.cache.Cache; import org.apache.s
Shiro 限制并发人数登录剔除
weixin_30929295的博客
11-29 320
一、创建一个实现AccessControlFilter 的过滤器类 package com.beovo.dsd.common.shiro.filter; import cn.hutool.core.collection.CollUtil; import cn.hutool.core.util.ObjectUtil; import com.beovo.dsd.common.shir...
2017.6.30 用shiro实现并发登录人数控制(实际项目中的实现)
weixin_30852367的博客
06-30 186
之前的学习总结:http://www.cnblogs.com/lyh421/p/6698871.html 1.kickout功能描述 如果将配置文件中的kickout设置为true,则在另处再次登录时,会将第一次登录的用户踢出。 2.kickout的实现 2.1 新建KickoutSessionControlFilter extends AccessControlFi...
shiro实现用户踢出功能
weixin_34023863的博客
01-05 2324
title: shiro实现用户踢出功能 tags: reids shiro Kickout categories: 工作日志 date: 2017-05-25 18:18:56 貌似现在javaweb界大部分还是知道开涛的大名的,许多人的springmvc,spring,shiro等的入门教程就是从开涛的博客开始的。 Shiro的单用户登录功能也是从开涛的博客代码参考过来的,第十八章 并...
lc-框架
abu1216的博客
12-30 570
1.spring的特性是什么?ioc和Aop的原理是什么?aop的注解有哪些? spring是一个开源框架,是为了解决企业级应用开发的复杂性而创建的,从简单性、可测试性和松耦合性角度而言,绝大多数java应用都可以从spring中受益。 spring特性(思想) 1.IOC Inversion of Control(控制反转),是指我们将创建对象和依赖注入的方式反转了,将对象的创建以及管理交由spring容器。 以前,我们创建对象都是我们自己new,自己管理,依赖也由我们自己注入,使用spring
emos-第一章、项目前置准备
Mrrr_Li的博客
04-02 810
1.后端项目设置PageUtils封装分页数据,必要时返回给前端。PageUtils类里面有相关的变量用来保存“总页数、“总记录”、“当前页数”、“分页记录”等数据。 我们在写Service层代码的时候,遇到要返回分页结果的时候,我们返回PageUtils对象即可。 2.封装返回给前端的数据为R类。在前后端分离的架构中,后端返回给前端的数据是JSON格式的,我们不限制具体业务数据的内容,但是JSON内部的属性咱们要统一,比如某个属性是状态码,某个属性是异常信息,某个属性是分页数据。 在项目...
狂神说——SpringBoot学习
weixin_44543307的博客
12-06 5282
Springboot 学习笔记Springboot简介什么是微服务?ThymeleafDuridSpringboot整合mybatisSpringSecurity安全Shiroswagger定时任务springboot 整合分布式 dubbo+ zookeeper+ springbootDubboRPC(两大核心:通讯,序列化)Zookeeper总结 学习源码 spring官网 springboot官网 spring-security版本下载 狂神官网学习 也可以搜索B站 (狂神说) Springboot简
【全栈编程系列】SpringBoot整合Shiro(含KickoutSessionControlFilter并发在线人数控制以及不生效问题、配置启动异常No SecurityManager...)
Yangy的博客
09-01 1892
热门系列: 程序人生,精彩抢先看 目录 1、前言 2、正文 2.1 环境介绍 2.2 shiro配置 2.3 shiro并发在线人数控制KickoutSessionControlFilter 2.3.1 自定义shiro的KickoutSessionControlFilter请求时报错异常 2.3.2KickoutSessionControlFilter并发在线人数控制失效 3、总结 1、前言 好久没整活儿了。最近在整合shiro的时候,出现了诸多问题。还...
shiro同一用户后登陆踢出前面的用户
qq_40543150的博客
01-24 3370
直接上代码 下面就是我实现的访问控制拦截器:KickoutSessionControlFilter: public class KickoutSessionControlFilter extends AccessControlFilter { private static Logger logger = LoggerFactory.getLogger(KickoutSessionContro...
Shiro】7、Shiro实现控制用户并发登录并踢人下线
热门推荐
Asurplus
05-22 20万+
在传统的项目中,同一账户是允许多人同时登录在线的,有的使用场景恰恰是不允许多人同时在线的,那么我们可以通过 Shiro 来控制并发登录,并实现后登录的用户,挤掉前面登录的用户 1、并发登录过滤器 package com.asurplus.common.shiro; import com.asurplus.system.entity.SysUserInfo; import org.apache.shiro.SecurityUtils; import org.apache.shiro.cache.Cach
springboot整合shiro-在线人数以及并发登录人数控制(七)
这个名字想了很久
09-02 2万+
原文地址,转载请注明出处:&amp;amp;nbsp;https://blog.csdn.net/qq_34021712/article/details/80457041&amp;amp;nbsp;&amp;amp;nbsp; &amp;amp;nbsp;&amp;amp;nbsp;©王赛超&amp;amp;nbsp; 项目中有时候会遇到统计当前在线人数的需求,也有这种情况当A 用户在邯郸地区登录 ,然后A用户在北京地区再登录 ,要踢出邯郸登录的状态。如果用
Shiro单用户登录,清理之前登录的用户
weixin_34392435的博客
11-30 1177
方法一 /** * @功能描述: 单用户登录,清除当前用户以前登录时保存的session会话 * @param loginName */ public void singleUseLogin(String loginName){ // 1.获取当前用户sessionId String currentUserSessionId = SecurityUtils.getSu...
web应用使用shiro控制在线人数及账号重复登录问题
abc5582的博客
02-26 3888
1、在shiro的xml配置文件中加入sessionDAO的配置,因为在ShiroRealm.java中需要使用此对象。    &lt;!-- Realm实现 --&gt;    &lt;bean id="shiroRealm" class="com.sinosoft.base.util.ShiroRealm"/&gt;    &lt;bean id="sessionDAO" class="org.
并发登录人数控制--Shiro系列(二)
李秀才的博客
06-23 1万+
为了安全起见,同一个账号理应同时只能在一台设备上登录,后面登录的踢出前面登录的。用Shiro可以轻松实现此功能。 shiro中sessionManager是专门作会话管理的,而sessinManager将会话保存在sessionDAO中,如果不给sessionManager注入 sessionDAO,会话将是瞬时状态,没有被保存起来,从sessionManager里取session,是取不到的。 此例中sessionDAO注入了Ehcache缓存,会话被保存在Ehcache中,不知Ehcache为何物的,请
shiroFilter配置详解
eriz程序之路
06-06 2万+
Shiros是我们开发中常用的用来实现权限控制的一种工具包,它主要有认证、授权、加密、会话管理、与Web集成、缓存等功能。Shiro  权限配置一般使用的有两种,一种是采用注解的方式,在我们的  Controller  方法上,或者Action 方法上写入一些权限判断注解,具体怎么使用,我不做介绍,我主要推荐使用配置的方式。这也是我们现在要讲到的配置方式加载系统基础权限控制,采用对Url 进行控制...
Apache Shiro 反序列化漏洞分析与利用(Shiro-550 & Shiro-721)
"本文主要讨论了Apache Shiro框架中的两个安全漏洞,Shiro-550和Shiro-721,以及如何进行自动化漏洞利用。Shiro是一个流行的Java安全框架,提供认证、授权、加密和会话管理等功能。文章详细介绍了这两个漏洞的原理、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值