Shiro并发登录人数控制遇到的问题和解决

最新推荐文章于 2021-09-01 11:47:42 发布
最新推荐文章于 2021-09-01 11:47:42 发布
阅读量540 收藏
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36894490/article/details/109648480
版权

shiro并发登录人数控制遇到的问题和解决

问题1:KickoutSessionControlFilter不起作用

public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {}中设置:
{

filters.put(“kickout”, new KickoutSessionControlFilter());

filterMap.put("/**", “kickout”);
}
结果:KickoutSessionControlFilter不起作用。
进一步查看代码:

public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
        ShiroPermsFilterFactoryBean shiroFilter = new ShiroPermsFilterFactoryBean();
        ...
        Map<String, Filter> filters = new HashMap<>(3);
        filters.put("kickout", new KickoutSessionControlFilter());
        shiroFilter.setFilters(filters);
        Map<String, String> filterMap = new LinkedHashMap<>(16);
        ...
        filterMap.put("/**", "kickout");
        shiroFilter.setFilterChainDefinitionMap(filterMap);
        return shiroFilter;
    }

查看代码行:shiroFilter.setFilterChainDefinitionMap(filterMap);

setFilterChainDefinitionMap点进去:

public void setFilterChainDefinitionMap(Map<String, String> filterChainDefinitionMap) {
		...
		filterChainDefinitionMap.put("/**", "user");
		super.setFilterChainDefinitionMap(filterChainDefinitionMap);
		...
}

分析:

filterMap.put("/**", "kickout");


filterChainDefinitionMap.put("/**", "user");

操作的是同一个对象,
filterChainDefinitionMap是一个Map,
key一样,put会覆盖掉前面的值。

解决:

filterChainDefinitionMap.put("/**", "kickout,user");

问题2:KickoutSessionControlFilter中cache为null空指针异常

public class KickoutSessionControlFilter extends AccessControlFilter {
		private Cache<String, Deque<Serializable>> cache;
		...
		@Override
		protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
    ...
    Deque<Serializable> deque = cache.get(username);
    ...
    deque = new LinkedList<Serializable>();
    cache.put(username, deque);
    ...

    }
}

查看:ShiroConfig.java中session管理器SessionManager

@Bean
    public SessionManager sessionManager(GlobalProperties globalProperties){
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionValidationSchedulerEnabled(true);
        sessionManager.setSessionIdUrlRewritingEnabled(false);
        sessionManager.setDeleteInvalidSessions(true);
        if (globalProperties.isRedisSessionDao()) {
            // 开启redis会话管理器
            sessionManager.setSessionFactory(new UserSessionFactory());
            sessionManager.setSessionDAO(new UserSessionDAO());
            List<SessionListener> sessionListeners = new ArrayList<>();
            sessionListeners.add(new UserSessionListener());
            sessionManager.setSessionListeners(sessionListeners);
        }
        return sessionManager;
    }

发现:框架没有配置CacheManager,有配置redis会话管理,改用RedisCacheManager。
解决:

public class KickoutSessionControlFilter extends AccessControlFilter {
		private Cache<String, Deque<Serializable>> cache;
		...
		@Override
		protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
    		...
    		RedisCacheManager redisCacheManager = (RedisCacheManager) SpringContextUtils.getBean("redisCacheManager");
   		 	...
            LinkedList<Serializable> linkedList = new LinkedList<Serializable>();
            ...
            linkedList = (LinkedList<Serializable>) redisCacheManager.get(username);
            ...
            redisCacheManager.set(username,linkedList);
            ...
	   }
}

问题3:服务器重启后首页访问:subject.getPrincipal()报ClassCastException异常

@Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        Subject subject = getSubject(request, response);
        if(!subject.isAuthenticated() && !subject.isRemembered()) {
            //如果没有登录,直接进行之后的流程
            return true;
        }
 
        Session session = subject.getSession();
        SysUserEntity user = (SysUserEntity) subject.getPrincipal();
        username= user.getUsername();
        ...
}

一番打端点分析:
用户登陆状态下,服务器重启后:

subject.isAuthenticated()仍然为true。“//如果没有登录,直接进行之后的流程”该步骤不能进入,未return true,继续后续执行。

且session仍然在,未失效。

(SysUserEntity) subject.getPrincipal();
强转报异常,原因不明。

暂时解决方法:try捕获ClassCastException时调用subject.logout();登出。定向到首页。

try {
            SysUserEntity user = (SysUserEntity) subject.getPrincipal();
            username= user.getUsername();
        } catch (ClassCastException cce) {
            //服务器重启后,session仍然在,但subject.getPrincipal会有强转异常
            try {
                subject.logout();
            } catch (Exception e) { //ignore
            }
            saveRequest(request);
            httpServletRequest.setAttribute("errorMsg", "登录超时,请重新登录");
            httpServletRequest.getRequestDispatcher("/login").forward(request, response);
            return false;
        }

系统环境

springboot

参考资料

https://blog.csdn.net/qq_33556185/article/details/51744004
https://www.w3cschool.cn/shiro/epht1ifg.html

luckyilucky
关注
专栏目录
Shiro权限框架-在线并发登录人数控制(9)
魔法革1996
04-03 951
1、实现原理 在实际开发中,我们可能会遇到这样的需求,一个账号只允许同时一个在线,当账号在其他地方登陆的时候,会踢出前面登陆的账号,那我们怎么实现 自定义过滤器:继承AccessControlFilter 使用redis队列控制账号在线数目 实现步骤: 1、只针对登录用户处理,首先判断是否登录 2、使用RedissionClien创建队列 3、判断当前sessionId是否存在于此用户的队列=key:登录名 value:多个sessionId 4、不存在则放入队列尾端==>
java面试题微服务篇
老汤姆的博客
02-17 1729
微服务组件
【全栈编程系列】SpringBoot整合Shiro(含KickoutSessionControlFilter并发在线人数控制以及不生效问题、配置启动异常No SecurityManager...)
Yangy的博客
09-01 1885
热门系列: 程序人生,精彩抢先看 目录 1、前言 2、正文 2.1 环境介绍 2.2 shiro配置 2.3 shiro并发在线人数控制KickoutSessionControlFilter 2.3.1 自定义shiroKickoutSessionControlFilter请求时报错异常 2.3.2KickoutSessionControlFilter并发在线人数控制失效 3、总结 1、前言 好久没整活儿了。最近在整合shiro的时候,出现了诸多问题。还...
shiro同一账号登录次数限制
ghx123456ghx的博客
07-14 522
shiro整合kickoutSessionFilter 1 注入kickoutSessionFilter <bean id="kickoutSessionFilter" name="kickoutSessionFilter" class="com.msunsoft.listener.KickoutSessionFilter"> <property name="cacheManager" ref="shiroCacheManager"></property>
Shiro
myblogzz的博客
06-28 223
待完善
shiro超时 ajax,Shiro:ajax的session超时处理
weixin_39532628的博客
08-05 409
问题解决方案参照网站多篇文章融合解决,在此表示感谢!环境:springboot+shiro+jquery-easyui问题:在ajax请求时,如果此时session已经失效,系统没有自动跳转到登录页面。后来在服务端加了判断ajax请求的代码,结果还是没有用,无法取到ajax特定的head值(X-Requested-With)。发现jquery-easyui表单提交时没有就没有传递这个值。解决办法...
Apache Shiro教程
07-23
Shiro框架还考虑到了并发登录人数控制、动态URL权限控制、无状态Web应用集成以及集成验证码等高级特性。这些特性使得Shiro能够满足不同场合的复杂需求。 最后,Shiro教程通过综合实例,为读者展示了一个完整的Shiro...
shiro教程共享
11-16
Shiro支持并发登录人数控制,这在某些应用场景中是非常必要的。动态URL权限控制Shiro提供的另一个安全特性,可以动态地调整访问权限。 无状态的Web应用集成在某些情况下是必要的,Shiro也提供了相关的支持。授予...
shiro ajax springmvc,SpringMVC + Shiro实现用户踢出功能
weixin_40001309的博客
08-06 365
整理自己的代码片段的时候, 想起来之前有一个需求: 实现同一个用户同时只能在一个地方登陆, 如果该用户在其他地方登陆, 踢出前一个登陆状态。项目中使用的是shiro做为权限控制框架, 对此需求进行了一些实现, 思路如下: shiro是利用一个个filter进行过滤请求的权限, 那么我就可以自定义一个filter在用户登陆之后, 判断当前的用户是否存在已经登陆的情况, 如果已经存在, 那么就踢出。代...
Shiro学习笔记(三)Spring Boot + Shiro
JuFF_白羽的博客
10-09 218
实际开发中必要加入缓存机制,这里使用redis作为缓存,主要使用的依赖包如下(redis): <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</ver...
SpringBoot+Shiro学习之自定义拦截器管理在线用户(踢出用户)
qq_20954959的博客
03-05 1万+
应用场景 我们经常会有用到,当A 用户在北京登录 ,然后A用户在天津再登录 ,要踢出北京登录的状态。如果用户在北京重新登录,那么又要踢出天津的用户,这样反复。又或是需要限制同一用户的同时在线数量,超出限制后,踢出最先登录的或是踢出最后登录的。 第一个场景踢出用户是由用户触发的,有时候需要手动将某个在线用户踢出,也就是对当前在线用户的列表进行管理。 ··························
shiro 自定义 用户 角色 权限 (认证与授权)按钮级控制
CaiXinXing的CSDN博客
06-02 1153
ShiroConfig.java(shiro配置) /** * @todo: 集成shiro * @author: cxx * @date: 2020-5-22 09:56:10 * @description: manage */ @Configuration public class ShiroConfig { @Value("${spring.jedis.port}") private int port; @Value("${spring.jedis.host}
FilterChainDefinitionMap_参数说明
热门推荐
maqingbin8888的专栏
10-02 4万+
其实就是构造一个Map&lt;String,String&gt; 通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[perm...
SpringBoot Shiro实现并发登录人数控制(二)
pukun888的博客
11-04 808
1. 新增KickoutSessionControlFilter.java package com.pk.ass.config; import org.apache.shiro.cache.Cache; import org.apache.shiro.cache.CacheManager; import org.apache.shiro.session.Session; import org.apache.shiro.session.mgt.DefaultSessionKey; import org.
springboot整合shiro-在线人数以及并发登录人数控制(七)
这个名字想了很久
09-02 2万+
原文地址,转载请注明出处:&amp;amp;nbsp;https://blog.csdn.net/qq_34021712/article/details/80457041&amp;amp;nbsp;&amp;amp;nbsp; &amp;amp;nbsp;&amp;amp;nbsp;©王赛超&amp;amp;nbsp; 项目中有时候会遇到统计当前在线人数的需求,也有这种情况当A 用户在邯郸地区登录 ,然后A用户在北京地区再登录 ,要踢出邯郸登录的状态。如果用
并发登录人数控制--Shiro系列(二)
李秀才的博客
06-23 1万+
为了安全起见,同一个账号理应同时只能在一台设备上登录,后面登录的踢出前面登录的。用Shiro可以轻松实现此功能。 shirosessionManager是专门作会话管理的,而sessinManager将会话保存在sessionDAO中,如果不给sessionManager注入 sessionDAO,会话将是瞬时状态,没有被保存起来,从sessionManager里取session,是取不到的。 此例中sessionDAO注入了Ehcache缓存,会话被保存在Ehcache中,不知Ehcache为何物的,请
Shiro功能应用(五)--Session管理的登陆人数控制
假人一个的博客
04-26 921
     登陆人数控制,比如同一个用户不能在两个地方登陆。Shiro主要基于自定义的Fliter实现的。本文在上一篇文章Shiro功能应用(四)–Session管理及在线人数统计代码基础进行添加登陆人数控制。 代码实现:       代码地址:       &nb...
Shiro并发登录控制:基于XML的EtherCAT协议与踢出策略
本章内容深入讲解了如何在Shiro中实现并发登录人数控制,这对于开发需要处理高并发和用户权限管理的应用来说非常实用。通过与Spring框架的集成,使得整个安全体系更加完善和高效。阅读这部分内容有助于理解如何在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值