java强制退出登录的原理_Spring Security 强制退出指定用户

最新推荐文章于 2022-07-31 20:53:33 发布
最新推荐文章于 2022-07-31 20:53:33 发布
阅读量637 收藏
点赞数
文章标签: java强制退出登录的原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35063099/article/details/114812363
版权

应用场景

最近社区总有人发文章带上小广告,严重影响社区氛围,好气!对于这种类型的用户,就该永久拉黑!

社区的安全框架使用了 spring-security 和 spring-session,登录状态 30 天有效,session 信息是存在 redis 中,如何优雅地处理这些不老实的用户呢?

首先,简单划分下用户的权限:管理员(ROLE_MANAGER):基本操作 + 管理操作

普通用户(ROLE_USER):基本操作

拉黑用户(ROLE_BLACK):不允许登录

然后,拉黑指定用户(ROLE_USER -> ROLE_BLACK),再强制该用户退出即可(删除该用户在 redis 中 session 信息)。

项目相关依赖及配置

Maven 依赖

org.springframework.boot

spring-boot-starter-security

org.springframework.boot

spring-boot-starter-data-redis

org.springframework.session

spring-session-data-redis

Spring Session 策略配置 application.yml# 此处省略 redis 连接相关配置spring:

session:

store-type: redis

Spring Security 配置代码示例@EnableWebSecuritypublic class WebSecurityConfig extends WebSecurityConfigurerAdapter {    @Override

protected void configure(HttpSecurity http) throws Exception {

http

.authorizeRequests()

.antMatchers("/user/**").authenticated()

.antMatchers("/manager/**").hasAnyRole(RoleEnum.MANAGER.getMessage())

.anyRequest().permitAll()

.and().formLogin().loginPage("/login").permitAll()

.and().logout().permitAll()

.and().csrf().disable();

}

}

强制退出指定给用户接口import com.spring4all.bean.ResponseBean;import com.spring4all.service.UserService;import lombok.AllArgsConstructor;import org.springframework.session.FindByIndexNameSessionRepository;import org.springframework.session.Session;import org.springframework.session.data.redis.RedisOperationsSessionRepository;import org.springframework.web.bind.annotation.GetMapping;import org.springframework.web.bind.annotation.PathVariable;import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.RestController;import java.util.ArrayList;import java.util.List;import java.util.Map;@RestController@AllArgsConstructorpublic class UserManageApi {    private final FindByIndexNameSessionRepository extends Session> sessionRepository;    private final RedisOperationsSessionRepository redisOperationsSessionRepository;    private final UserService userService;    /**

* 管理指定用户退出登录

* @param userId 用户ID

* @return 用户 Session 信息

*/

@PreAuthorize("hasRole('MANAGER')")    @GetMapping("/manager/logout/{userId}")    public ResponseBean data(@PathVariable() Long userId){        // 查询 PrincipalNameIndexName(Redis 用户信息的 key),结合自身业务逻辑来实现

String indexName = userService.getPrincipalNameIndexName(userId);        // 查询用户的 Session 信息,返回值 key 为 sessionId

Map userSessions = sessionRepository.findByIndexNameAndIndexValue(FindByIndexNameSessionRepository.PRINCIPAL_NAME_INDEX_NAME, indexName);        // 移除用户的 session 信息

List sessionIds = new ArrayList<>(userSessions.keySet());        for (String session : sessionIds) {

redisOperationsSessionRepository.deleteById(session);

}        return ResponseBean.success(userSessions);

}

}说明 indexName 为  Principal.getName()  的返回值。

相关文档

作者:Anoyi

链接:https://www.jianshu.com/p/7766e0b9d98f

苏莞尔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 强制退出指定用户的方法
08-27
本篇文章主要介绍了Spring Security 强制退出指定用户的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java强制退出_java 强制用户退出登录
weixin_29254673的博客
02-19 722
第一步:自建一个继承自HttpSessionListener的监听器package com.zhph.util;import javax.servlet.http.HttpSessionEvent;import javax.servlet.http.HttpSessionListener;/*** session 监听事件* @author HAXF010**/public class Sess...
asp登录页面跳转到注册页面_SpringBoot项目访问任意接口都跳转到login登录页面
weixin_39753791的博客
11-26 563
在创建SpringBoot项目时,勾选Spring Security依赖,会在Maven中导入Spring Security。 org.springframework.boot spring-boot-starter-security这个依赖中有一个登陆拦截器,SpringBoot项目访问任意接口(页面)都跳转到login登录页面这是Spring为我们做的安全认证机制,访问项目时会跳转到登录页...
Security 登录认证 退出步骤
weixin_44768962的博客
07-31 1352
登录认证 授权
Spring Security 登录流程
灵熙云工作室
03-11 6510
目录 1.无处不在的 Authentication 2.登录流程 3.用户信息保存 以下文章来源于微信公众号:江南一点雨 为什么想和大家捋一捋 Spring Security 登录流程呢?这是因为之前小伙伴们的一个提问:如何在 Spring Security 中动态修改用户信息? 如果你搞清楚了 Spring Security 登录流程,这其实不是问题。但是在很多新手小伙伴多次询问...
ss.rar_java security_spring security_springsecurity4xss
09-23
spring security的中文学习文档,很好用的
applicationContext-security.rar_java security_spring security
09-21
spring security 用户数据库 配置
application-sexurity.zip_java security_spring security
09-24
spring实现安全登录问题,用spring-security实现登录和身份认证
Spring Security实现RBAC权限管理_RBAC_spring_spring security_springclou
09-24
在企业应用中,认证和授权是非常重要的一部分内容,业界最出名...由于Spring Boot非常的流行,选择Spring Security做认证和授权的 人越来越多,今天我们就来看看用SpringSpring Security如何实现基于RBAC的权限管理
使用Java servlet实现自动登录退出功能
08-25
主要介绍了使用Java servlet实现自动登录退出功能,,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity(十)强制退出指定用户
lizc_lizc的博客
11-16 6212
使用场景 假设用户A具有Authority1,Authority2两个权限,用户A登录系统进行相关操作,而此时系统管理员需要删除用户A的Authority2权限,但是需要用户A重新登录权限修改才会生效,如果用户A不重新登录,那么用户A仍然拥有Authority2权限。因此,系统管理员修改完用户A的权限后需要让用户A的登录信息失效。   实现 1. 新建一个Bean @Bean ...
springsecurity 实现强制用户下线-前后端分离
渣渣飞的博客
10-07 5683
强制用户下线前言设计思路查找资料自己手写缓存过滤器HttpSession监听器强制用户下线结尾 前言 最近相对较忙,没有更新博客,正值假期,赶紧抽空写两篇。也是遇到的项目上的需求:管理员变更了用户的权限,但是用户如果系统在线的话,有些权限功能仍旧可以使用。对此,强制用户下线的需求来了。括弧:由于系统预期为一对一的单服务系统,没有使用redis做缓存。所以对强制用户下线的功能带来了一些麻烦。 设计思...
java强制用户退出登录
zzchances的博客
03-11 1346
1、创建一个实现HttpSessionListener的监听器 public class SessionHelper implements HttpSessionListener { @Override public void sessionCreated(HttpSessionEvent httpSessionEvent) { } @Override public void sessionDestroyed(HttpSessionEvent httpSes
java 强制用户退出登录
l464513926的专栏
03-14 4491
第一步:自建一个继承自HttpSessionListener的监听器 package com.zhph.util; import javax.servlet.http.HttpSessionEvent; import javax.servlet.http.HttpSessionListener; /** * session 监听事件 * @author HAXF010 * */ p...
Java web项目中的强制登录
qq_51218906的博客
11-15 1412
为了避免直接进入项目中存在的页面,使用filter过滤器 新建一个类loginFilter: package com.tjcu.filter; import com.tjcu.entity.User; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSes
根据session查询服务器信息,改变用户session信息
weixin_39964869的博客
08-12 364
我感觉这是个好问题。但是你提供的那两种方法个人认为不大好。我的思路是:使用共享式session解决这个问题。所谓共享式session就是一个用户无论从任何终端登录,如果服务器端存在这个用户没有过期的session那么就把这个session的id返回给客户端,这样做的好处之一是多个终端可以共享服务器session中的数据。假设有一个新用户登录。那么怎么实现共享session呢?很简单,借助于memc...
Spring Security 实战干货:实现自定义退出登录
码农小胖哥
10-23 4794
1. 前言 上一篇对 Spring Security 所有内置的 Filter 进行了介绍。今天我们来实战如何安全退出应用程序。 2. 我们使用 Spring Security 登录后都做了什么 这个问题我们必须搞清楚!一般登录后,服务端会给用户发一个凭证。常见有以下的两种: 基于 Session 客户端会存 cookie 来保存一个 sessionId ,服务端存一个 Session 。...
强制登出所有用户,每次升级之前强制用户重新登录No SecurityManager accessible to the calling code, either bound to the org.ap
java技术专家全栈成长之路
01-07 2232
异常信息: 2021-01-07 09:39:16.299|ERROR|main|212|c.h.j.rpc.t2.util.ServiceDefinitionUtil :解析接口方法异常: method:queryTagsByCategory 2021-01-07 09:39:16.332|ERROR|main|212|c.h.j.rpc.t2.util.ServiceDefinitionUtil :解析接口方法异常: method:queryTagsByTagValue 2021-01-07 09:
springsecurity退出登录
最新发布
06-28
Spring Security退出登录可以通过以下步骤实现: 1. 在Spring Security配置文件中添加logout...当用户点击退出登录链接或按钮时,将调用/logout请求,Spring Security将清除用户的身份验证信息并重定向到登录页面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值