首先要要在web.xml中加上一个监听session的监听器.
<listener>
<listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class>
</listener>
然后在spring security的配置文件中加上一个配置
<http>
<intercept-url pattern="/admin.jsp" access="ROLE_ADMIN"/>
<intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN"/>
<form-login login-page="/login.jsp" authentication-failure-url="/login.jsp" default-target-url="/index.jsp"/>
<logout />
<session-management>
<concurrency-control error-if-maximum-exceeded="true"/>
</session-management>
</http>
其中error-if-maximum-exceeded属性如果不加,默认是false,即后登陆者挤掉前一个,如果加了,当一个用户登录后,相同的用户名和密码就无法再登陆了。