SpringSecurity+Springboot实现踢掉前一个登录用户

最新推荐文章于 2024-06-07 14:53:32 发布
最新推荐文章于 2024-06-07 14:53:32 发布
阅读量1.7k 收藏 7
点赞数
文章标签: spring boot java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43381157/article/details/126139321
版权

SpringSecurity+Springboot实现踢掉前一个登录用户

1.需求分析

要实现一个用户不可以同时在两台设备上登录,有两种思路:
(1)后来的登录自动踢掉前面的登录,就像大家在扣扣中看到的效果
(2)如果用户已经登录,则不允许后来者登录。
这种思路都能实现这个功能,具体使用哪一个,还要看我们具体的需求。
在 Spring Security 中,这两种都很好实现。
下面只说第一种实现。

2.具体实现

(1)踢掉前面的登录
想要用新的登录踢掉旧的登录,我们只需要将最大会话数设置为 1 即可,配置如下:

	// 关闭csrf验证
	http.csrf().disable().cors()
	       // create no session
	       .and()
	       .sessionManagement()
	       .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
	       // session 已经过期的提示解决
           .sessionAuthenticationStrategy(new ConcurrentSessionControlAuthenticationStrategy())
           // 对请求进行认证
           .and()
           .authorizeRequests()
           .antMatchers(resources).permitAll()
           .antMatchers(HttpMethod.POST, postMapping).permitAll()
           .antMatchers(HttpMethod.GET, getMapping).permitAll()
           // 所有请求需要身份认证
           .anyRequest().authenticated()
           .and()
           .exceptionHandling()
           .authenticationEntryPoint(new Http401AuthenticationEntryPoint())
           .and()
	       .maximumSessions(1)
	       .sessionRegistry(sessionRegistry)
	       .maxSessionsPreventsLogin(false);

maximumSessions 表示配置最大会话数为 1,这样后面的登录就会自动踢掉前面的登录
会有以下提示:
This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).
可以看到,这里说这个 session 已经过期,原因则是由于使用同一个用户进行并发登录
(2)解决 session 已经过期的提示

 .sessionAuthenticationStrategy(new ConcurrentSessionControlAuthenticationStrategy())

把该类加入到web配置里

public class ConcurrentSessionControlAuthenticationStrategy implements
        MessageSourceAware, SessionAuthenticationStrategy {

    @Autowired
    private SessionRegistry sessionRegistry;

    private MessageSource messageSource;


    public void onAuthentication(Authentication authentication,
                                 HttpServletRequest request, HttpServletResponse response) {
        int sessionCount = 0;
        List<SessionInformation> sessions = new ArrayList<>();
        if (sessionRegistry!=null) {
            sessions = sessionRegistry.getAllSessions(
                    authentication.getPrincipal(), false);
            sessionCount = sessions.size();
        }
        int allowedSessions = 1;

        if (sessionCount < allowedSessions) {
            // They haven't got too many login sessions running at present
            return;
        }

        if (allowedSessions == -1) {
            // We permit unlimited logins
            return;
        }
        if (sessionCount == allowedSessions) {
            HttpSession session = request.getSession(false);

            if (session != null) {
                for (SessionInformation si : sessions) {
                    if (si.getSessionId().equals(session.getId())) {
                        return;
                    }
                }
            }
        }

        allowableSessionsExceeded(sessions, allowedSessions, sessionRegistry);
    }
    protected void allowableSessionsExceeded(List<SessionInformation> sessions,
                                             int allowableSessions, SessionRegistry registry)
            throws SessionAuthenticationException {
        if ((sessions == null)) {
            throw new SessionAuthenticationException(messageSource.getMessage(
                    "ConcurrentSessionControlAuthenticationStrategy.exceededAllowed",
                    new Object[] {allowableSessions},
                    Locale.forLanguageTag("Maximum sessions of {0} for this principal exceeded")));
        }

        sessions.sort(Comparator.comparing(SessionInformation::getLastRequest));
        int maximumSessionsExceededBy = sessions.size() - allowableSessions + 1;
        List<SessionInformation> sessionsToBeExpired = sessions.subList(0, maximumSessionsExceededBy);
        for (SessionInformation session: sessionsToBeExpired) {
            session.expireNow();
        }
    }

    @Override
    public void setMessageSource(MessageSource messageSource) {
        this.messageSource = messageSource;
    }
}
独白re
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Springboot +spring security登录用户数据获取
weixin_40991408的博客
05-21 1254
Springboot +spring security登录用户数据获取
Springboot+SpringSecurity实现权限控制(二、用户登录认证)
一念永恒
03-09 1712
配置Security核心配置类 将WebSecurityConfig放在auth包下 右击鼠标-->点击Generate... -->点击Override Methods... 选择下面的三个configure 禁用防护: http.csrf().disable() 禁用Session的配置: .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) 禁用缓存: .headers().c
springboot+redis+session相同用户只能登陆一次,者会被挤下线(类似QQ)
bobo_supper的博客
03-03 2830
1.springbootWeb项目 引包 <!--redis--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> .
用户登录,即当用户登录后要踢出一个登录,即做出踢人效果,如何实现
热门推荐
Ideality_hunter的专栏
10-24 1万+
用户登录,即当用户登录后要踢出一个登录,即做出踢人效果,如何实现? 一般情况下,用户登录,有两种方式:cookie方式,session方式。一般情况下,session方式是使用最多的。 一、关于session方式原理: 1)浏览器端发起请求,浏览器的cookie中有jsessionId,会随着http 请求,被发送到tomcat服务器端。 2)浏览器端的
springboot实现一个账号同时只能登录一个设备,其他设备登录登录登录的账号强制下线
最新发布
2301_80333628的博客
06-07 439
这里每次登录的时候不仅会将token返回给端,同时也会将token存到数据库里。目的就是通过对token的比较判断用户是否已经登录,如果数据库里有token,并且数据库里的token和此次登录的token不一致,说明已经有用户登录过了,此次登录的时候就会更新数据库里的token,之登录用户登录状态就会失效了。因为没有使用redis,使用jwt生成的token也不会存在redis,将登录信息生成token,将生成的token以及用户信息一并返回给端,端每次访问后端的接口都会携带token过来。
Cas实现子系统登录互踢
大脸猫的博客
05-07 1182
实现思路 1.一个类,类中维护着一个登录用户的map,每次登录取出上次该用户对应的session;并给session添加一个过期的属性标识lastHttpSession.setAttribute(BE_KICKED,"您的账号在另一地点登录,您被迫下线") 2.写一个sessionFilter,该sessionFilter取出每个request请求实例中维护的session,判断sessio...
java实现用户登录互挤,将一个用户挤下线
zouyang920的博客
03-07 4223
1.场景 假设 Tom使用了用户1,Joker也是使用了用户1,两人同时对用户1 的相关数据进行了修改,就会造成数据的安全隐患,得保证多台设备登录账号只有一个账号能登录上。 2.思路 2.1 利用map的key-value数据结构,key可以重复,value不能重复的特性,将用户名和sessionid绑定存储起来。 2.2 首次登录在拦截器里面放行,登录成功将用户名和sessionid存储起来,当第二次登录时,用户名相同,sessionid不同的话则去登录,后面执行登录方法,发一个账号和sessioni
javaweb 禁止账号重复登录,后登录账号踢掉登录账号
cndn20120225的博客
10-23 1187
功能目标: 账号在其他地方登录后,当登录账号被迫下线 步骤: 1、新建两个全局map //session map,用以实现挤掉相同账号 //key:登录账号;value:session对象 public static Map<String, HttpSession> SESSION_MAP = new HashMap<String, HttpSession>(...
多端登录如何实现踢人下线
dotNET跨平台
06-05 786
实现多端登录的踢人下线,可以考虑以下几种方案:使用token机制:当用户登录时,生成一个唯一的token,并将其存储在服务器端和客户端。当用户再次登录时,先验证token是否有效,如果有效,则保留新token,将旧token从服务器和客户端上删除,实现踢人下线的功能。使用WebSocket:当用户登录时,在服务器端建立一个WebSocket连接,并将其存储在服务器端。当用户再次登录时,先验证Web...
账号多端互踢实现思路
程序猿踩坑集锦
03-29 534
你需要一个机制来跟踪每个账号的当登录状态。这通常通过数据库、缓存系统(如Redis)或分布式会话管理来实现。:当用户尝试登录时,系统需要验证其凭据,并在验证成功后更新其登录状态。:为每个登录的会话分配一个唯一的标识符(如JWT、Session ID等),并在用户与系统进行交互时使用此标识符来识别用户。:当检测到同一账号在另一个终端登录时,需要有一个逻辑来找到并终止一个会话。
Spring Security 自动踢掉一个登录用户一个配置搞定!
江南一点雨的专栏
05-07 9068
登录成功后,自动踢掉一个登录用户,松哥第一次见到这个功能,就是在扣扣里边见到的,当时觉得挺好玩的。 自己做开发后,也遇到过一模一样的需求,正好最近的 Spring Security 系列正在连载,就结合 Spring Security 来和大家聊一聊这个功能如何实现。 本文是本系列的第十三篇,阅读面文章有助于更好的理解本文: 挖一个大坑,Spring Security 开搞! 松哥手把手带你...
Springboot自定义注解拦截用户登录
我还可以
07-17 534
自定义注解很简,无非就是了解几个元注解,元注解都在java.lang.annotation包: @Target @Retention @Documented @Inherited 常用的就以上四个,下面写的详细点: @Target 描述注解的使用范围(可以修饰什么地方) public enum ElementType { TYPE, // 类、接口、枚举类 FIELD, // 成员变量(包括:枚举常量) METHOD, // 成员方法 PARA
Spring Security 自动踢掉一个登录用户实现代码
08-19
主要介绍了Spring Security 自动踢掉一个登录用户实现代码,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security-oauth2`和`spring-security-jwt`依赖。 2. **用户实体类与数据访问层**:...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
总结来说,本项目展示了如何利用SpringBootSpringSecurity和JPA在IntelliJ IDEA环境下构建一个完整的用户角色权限管理系统,通过security.sql和security-jpa这两个关键组件,实现了数据初始化和核心业务逻辑的构建...
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
Spring Boot + Vue 后端分离项目,如何踢掉登录用户
江南一点雨的专栏
05-08 4577
上篇文章中,我们讲了在 Spring Security 中如何踢掉一个登录用户,或者禁止用户二次登录,通过一个的案例,实现了我们想要的效果。 但是有一个不太完美的地方,就是我们的用户是配置在内存中的用户,我们没有将用户放到数据库中去。正常情况下,松哥在 Spring Security 系列中讲的其他配置,大家只需要参考Spring Security+Spring Data Jpa 强强联手,...
SpringBoot - 安全管理框架Spring Security使用详解(7)-注销登录配置
Andy's Blog
06-06 489
默认情况下,Spring Security提供了注销接口是/logout,访问这个接口即可注销当登录用户并且自动跳转到登录页。如果需要修改注销接口,或者想在注销时做一些业务逻辑,或者注销后不是跳转到登录页而是返回一段JSON提示,只需在一些简配置即可。 七、注销登录配置 1,样例代码 首先修改Spring Security配置,增加相关的自定义配置代码: 开启并设置注销登录的URL。 在注销是做一些数据清除工作。 注销后返回一段JSON提示,而是不是跳转到登录页。 ...
springboot+springsecurity+vue实现用户登录用户添加
05-14
实现用户登录用户添加需要如下步骤: 1. 创建Spring Boot项目 2. 集成Spring Security 3. 创建用户实体类和DAO层 4. 创建用户Service层和Controller层 5. 创建Vue端页面 6. 实现登录用户添加功能 具体步骤如下: 1. 创建Spring Boot项目 可以使用Spring Initializr创建一个Maven项目,添加Web、Spring Security、MyBatis等依赖。 2. 集成Spring SecuritySpring Boot项目中,可以通过添加Spring Security依赖来实现安全认证和授权。在配置类中,可以定义登录页面和权限配置等。 3. 创建用户实体类和DAO层 创建用户实体类,包含用户名和密码等属性。然后创建UserMapper接口,继承MyBatis的Mapper接口,定义查询用户的方法。 4. 创建用户Service层和Controller层 创建UserService接口和UserServiceImpl实现类,定义用户登录和添加用户的方法。然后创建UserController类,处理用户登录用户添加的请求。 5. 创建Vue端页面 使用Vue框架创建端页面,包括登录页面和用户添加页面。 6. 实现登录用户添加功能 在登录页面中,输入用户名和密码,通过axios发送请求到后端UserController中的登录方法进行认证。在用户添加页面中,输入用户信息,通过axios发送请求到后端UserController中的添加用户方法进行添加。 以上就是实现用户登录用户添加的步骤。具体实现过程可以参考相关文档和示例代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值