Spring Security 中如何让管理员能够踢掉特定的登录用户?

于 2024-08-30 09:44:40 发布
阅读量216 收藏 1
点赞数 7
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34278711/article/details/141708136
版权

在 Spring Security 中实现一个功能,让管理员能够踢掉特定的登录用户,需要几个步骤。你需要一个机制来识别用户会话并使其失效。以下是实现这个功能的详细步骤:

### 1. 确定用户会话管理方式

Spring Security 默认使用 `HttpSession` 来管理会话。如果你使用了其他会话管理机制(如 JWT),这些步骤可能需要做适当的调整。

### 2. 记录会话信息

为了能够踢掉用户,你需要记录每个用户的会话信息。你可以使用 Spring Security 的 `HttpSession` 来管理用户会话,或者使用自定义的会话管理策略。

#### 2.1. 记录会话 ID

你可以使用 `HttpSessionEventPublisher` 来记录用户的会话信息。确保你的 Spring Boot 应用中注册了这个监听器:```java

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.session.web.http.HttpSessionEventPublisher;

@Configuration
public class SessionConfig {

    @Bean
    public HttpSessionEventPublisher httpSessionEventPublisher() {
        return new HttpSessionEventPublisher();
    }
}


```

#### 2.2. 使用自定义 `SessionRepository`

如果你需要更复杂的会话管理,可以实现自定义的 `SessionRepository`。这会涉及到存储和检索用户会话的实现。

### 3. 实现踢掉用户的功能

#### 3.1. 获取用户会话

你需要一种方式来获取用户的会话 ID。这可以通过 `SessionRegistry` 来实现。你可以在 Spring Security 中使用 `Spring Security’s `SessionRegistry` 来获取会话信息。

首先,配置 `SessionRegistry`:```java

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.core.session.SessionInformation;
import org.springframework.security.core.session.SessionInformationExpiredEvent;
import org.springframework.security.core.session.SessionInformationExpiredStrategy;
import org.springframework.security.core.session.SessionRegistry;
import org.springframework.security.core.session.SessionRegistryImpl;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .sessionManagement()
            .maximumSessions(1)
            .sessionRegistry(sessionRegistry())
            .and()
            .sessionManagement()
            .sessionFixation().none();
    }
}


```

然后,你可以通过 `SessionRegistry` 获取活跃的会话,并手动使其失效。```java

import org.springframework.security.core.session.SessionInformation;
import org.springframework.security.core.session.SessionRegistry;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.stereotype.Service;

import javax.servlet.http.HttpServletRequest;
import java.util.List;

@Service
public class UserService {

    private final SessionRegistry sessionRegistry;

    public UserService(SessionRegistry sessionRegistry) {
        this.sessionRegistry = sessionRegistry;
    }

    public void expireUserSessions(String username) {
        List<SessionInformation> sessions = sessionRegistry.getAllSessions(username, false);
        for (SessionInformation sessionInformation : sessions) {
            sessionInformation.expireNow();
        }
    }
}


```

#### 3.2. 在管理后台提供踢掉用户的功能

创建一个管理后台的功能,让管理员能够选择需要踢掉的用户并执行上述 `expireUserSessions` 方法。```java

import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class AdminController {

    private final UserService userService;

    public AdminController(UserService userService) {
        this.userService = userService;
    }

    @PostMapping("/admin/kick-user")
    public void kickUser(@RequestParam String username) {
        userService.expireUserSessions(username);
    }
}


```

### 4. 配置会话超时

为了确保会话在踢出用户后能立即失效,可以配置会话超时时间:

```properties

server.servlet.session.timeout=15m


```

### 5. 额外的考虑

- **会话存储**:如果你使用了分布式会话存储(如 Redis),确保所有节点都能访问到会话信息。
- **权限控制**:确保只有具有适当权限的管理员可以调用踢出用户的接口。
- **用户通知**:你可以在踢掉用户后通知用户他们的会话已经被终止。

通过上述步骤,你可以实现一个功能,使得管理员能够踢掉特定的登录用户。

weixin_34278711
关注
  • 7
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 6.x 系列【13】认证篇之会话共享解决方案
记录知识、锤炼自我
04-06 1147
同一个`Web`应用,当存在多个`Web`服务时,服务端的 `Session `数据需要共享。 在`Spring Security`默认使用`Session `保存用户认证会话,但是`Session `都是存放在单个`Web`服务器,如果是集群模式,在一个`Web`服务认证通过,再请求分发到另外一个`Web`服务时,并没有当前用户的`Session `,则会导致认证失败。
Spring Security系列教程20--会话管理之会话并发控制
一一哥
10-18 1186
前言 现在我们已经掌握了如何防御会话固定攻击,以及在会话过期时的处理策略,但是这些都是针对单个HttpSession来说的,对于会话来说,我们还有另一种情况需要考虑:会话并发控制! 那什么是会话并发控制呢?假如我想实现 “在我们的网站,同一时刻只允许一个用户登录” 这样的效果,该怎么做? 请各位带着以上的这些问题,跟着 一一哥 继续往下学习吧。 一. 会话并发控制 1. 会话并发控制 首先我们来了解一下会话并发控制的概念。 有时候出于安全的目的,我们可能会有这样的需求,就是规定在同一个系统
Spring Security
yinyin_xiao的博客
08-19 2208
权限认证:Spring Security
如何使用SpringSecurity
weixin_41553701的博客
08-17 4098
如何使用Spring Security
SpringSecurity整合springBoot、redis——实现登录互踢
mofsfely2的博客
05-09 2293
背景 基于我的文章——《SpringSecurity整合springBoot、redis token动态url权限校验》。要实现的功能是要实现一个用户不可以同时在两台设备上登录,有两种思路: (1)后来的登录自动踢掉前面的登录。 (2)如果用户已经登录,则不允许后来者登录。 需要特别说明的是,项目的基础是已经是redis维护的session。 配置redisHttpSession 设置spring session由redis 管理。 2.1去掉yml的http session 配置,yml和注解两者只选其
SpringSecurity整合JWT实现认证授权
weixin_50117915的博客
12-17 286
本篇文章主要是 springboot 整合 jwt 实现用户登录认证与授权,并且还有单用户共享 token、单设备登录、多设备登录、同端互斥登录与临时 token 等 对应的实体类可前往我的 git 的 pojo.entity 包 里查看,这里因篇幅原因就不贴出来了 网上有很多,也可以用我的:Redis工具类 首先把上
Spring Security源码分析九:Spring Security Session管理
郑龙飞
01-19 3314
Session:在计算机,尤其是在网络应用,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象的变量将不会丢失,而是在整个用户会话一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将
爆破专栏丨Spring Security系列教程之会话管理之会话并发控制_springboot限制一个页面出现两个会话(1)
Python毕设源码程序王哥
04-20 696
*maximum Sessions: 表示最大并发会话数,设置单个用户允许同时在线的最大会话数,如果没有额外配置,重新登录的会话会踢掉旧的会话。我们可以在SecurityConfig配置类,通过maximumSessions()方法来置单个用户允许同时在线的最大并发会话数,如果没有额外配置,重新登录的会话会踢掉旧的会话。用户从不同的浏览器登录,都会有对应的session,当用户注销登录之后,session就会失效,但是默认的失效是通过调用。如果你能答对70%,找一个安全工作,问题不大。
Spring Security 源码分析九:Spring Security Session 管理
weixin_42073629的博客
06-02 243
Session:在计算机,尤其是在网络应用,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象的变量将不会丢失,而是在整个用户会话一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。 1. Session管理 本文.
Spring Security 自动踢掉前一个登录用户的实现代码
08-19
Spring Security 提供了两种实现方法来限制用户登录踢掉已经登录用户和禁止新的登录操作。 1. 踢掉已经登录用户 要实现踢掉已经登录用户的功能,我们可以使用 Spring Security 的 sessionManagement 配置。具体...
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
spring boot + spring security 之 自定义用户登录
weixin_38552343的博客
07-09 3391
搞了两天,学了一个大概,创建security的项目demo已经三四个了,终于初步搞定了登录认证,至于授权,登录都有了,授权不小意思吗? 哈哈,不扯了,我开始说步骤,直接干货,记到你的小本儿上(这可是我翻了三本书,看数不过来的博客上总结的细节) 我搭建的环境是jdk1.8、spring boot 2.4.8、spring security 5.4.7 以下说明,适合spring security5.0以上版本 我这里先不说原理,直接给你们我能登录的代码(因为标题是自定义,下面的内容都是自定义,详细的看
SpringSecurity6 | 基于数据库实现登录认证
分享思想,留下痕迹。
07-02 4468
大家好,我是Leo哥🫣🫣🫣,通过前面几节的学习,我们知道了如果通过内存进行登录认证以及如何获取登录用户的认证信息。但是在实际开发,我们的用户都是存储在数据库,并非直接存放在本地内存。接下来,我们这篇博客将基于数据库的用户来实现我们的登录认证。其实用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储查询用户信息,然后判断输入的密码和存储的密码是否匹配。对用户名、密码存储,内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储。
SpringBoot项目mybatis执行sql很慢的排查改造过程(Interceptor插件、fetchSize、隐式转换等)
星月昭铭的博客
08-29 740
刚入职公司,就发现公司项目跑sql特别慢,差不多一万条数据插入到数据库要5秒以上(没有听错,就是这个速度),查询修改删除也是特别慢。直到22年年底实在是受不了了,我就去排查了一下。用的是Oracle数据库,mybatis、mybatis plus,其mybatis是引入的平台的依赖。平台封装了一些工具和插件。
JAVA后端框架【spring】--超详解
最新发布
2302_77125952的博客
08-29 476
spring是一个轻量级的ioc和Aop的一站式java开发框架,简化企业级开发轻量级:框架体积小(核心模块)
SpringBoot日常:Spring之@PostConstruct解析
qq_32590535的博客
08-29 195
spring的Bean在创建的时候会进行初始化,而初始化过程会解析出@PostConstruct注解的方法,并反射调用该方法。@PostConstruct 的使用和特点只有一个非静态方法能使用此注解;被注解的方法不得有任何参数;被注解的方法返回值必须为void;被注解的方法不得抛出已检查异常;被注解的方法只会被执行一次;
Spring Cache
m0_55956769的博客
08-26 457
Spring Cache
Spring
qq_48501521的博客
08-29 521
Spring概念:分层的Java SE/EE应用full stack轻量级框架,以IOC(控制反转)和AOP(面向切面)为内核,提供了展现层和持久层以及业务层事务管理等众多的企业应用技术,还可以整合其他第三方框架和类库。轻量级指的是Spting框架的非侵入性,即对象可不必依赖Spring的API类。Spring核心容器:spring-core,spring-beans,spring-context,spring-expression等spring-core:基本组成,包括IOC和DI等功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值