Spring Security OAuth2 实现多人登录互踢下线

最新推荐文章于 2024-04-18 07:30:54 发布
最新推荐文章于 2024-04-18 07:30:54 发布
阅读量1.5k 收藏 4
点赞数
文章标签: java spring servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46244630/article/details/126641748
版权

背景说明

一个账号只能一处登录,类似的业务需求在现有后管类系统是非常常见的。但在原有的 spring security oauth2 令牌方法流程(所谓的登录)无法满足类似的需求。

我们先来看 TokenEndpoint 的方法流程

客户端 带参访问 /oauth/token 接口,最后去调用 TokenGranter

TokenGranter 根据不同的授权类型,获取用户认证信息 并去调用TokenServices 生成令牌

重新 TokenService

  • 重写发放逻辑createAccessToken,当用户管理的令牌存在时则删除重新创建,这样会导致之前登陆获取的token 失效,顺理成章的被挤掉。

	@Transactional
	public OAuth2AccessToken createAccessToken() {
		OAuth2AccessToken existingAccessToken = tokenStore.getAccessToken(authentication);
		OAuth2RefreshToken refreshToken = null;
		// 重写此处,当用户关联的token 存在时,删除原有令牌
		if (existingAccessToken != null) {
			tokenStore.removeAccessToken(existingAccessToken);
		}
		else if (refreshToken instanceof ExpiringOAuth2RefreshToken) {
			ExpiringOAuth2RefreshToken expiring = (ExpiringOAuth2RefreshToken) refreshToken;
			if (System.currentTimeMillis() > expiring.getExpiration().getTime()) {
				refreshToken = createRefreshToken(authentication);
			}
		}
	OAuth2AccessToken accessToken = createAccessToken(authentication, refreshToken);
	tokenStore.storeAccessToken(accessToken, authentication);
	// In case it was modified
	refreshToken = accessToken.getRefreshToken();
	if (refreshToken != null) {
		tokenStore.storeRefreshToken(refreshToken, authentication);
	}
	return accessToken;
}

重写 Token key 生成逻辑

  • 如上代码,我们实现用户单一终端的唯一性登录,什么是单一终端 我们可以类比 QQ 登录 移动端和 PC 端可以同时登录,但 移动端 和移动端不能同时在线。

  • 如何能够实现 在不同客户端也能够唯一性登录呢?

先来看上文源码 OAuth2AccessToken existingAccessToken=tokenStore.getAccessToken(authentication); 是如何根据用户信息判断 token 存在的呢?

public OAuth2AccessToken getAccessToken(OAuth2Authentication authentication) {
		String key = authenticationKeyGenerator.extractKey(authentication);
		  // redis 查询逻辑,根据 key
		return accessToken;
}

  • AuthenticationKeyGenerator key值生成器 默认情况下根据 username/clientId/scope 参数组合生成唯一token

登录后复制 

public String extractKey(OAuth2Authentication authentication) {
	Map<String, String> values = new LinkedHashMap<String, String>();
	OAuth2Request authorizationRequest = authentication.getOAuth2Request();
	if (!authentication.isClientOnly()) {
		values.put(USERNAME, authentication.getName());
	}
	values.put(CLIENT_ID, authorizationRequest.getClientId());
	if (authorizationRequest.getScope() != null) {
		values.put(SCOPE, OAuth2Utils.formatParameterList(new TreeSet<String>(authorizationRequest.getScope())));
	}
	return generateKey(values);
}

  • 若想实现,多终端的唯一性登录,只需要使得同一个用户在多个终端生成的 token 一致,加上上文提到的 createToken 修改逻辑,既去掉extractKey 的 clientId 条件,不区分终端即可

public String extractKey(OAuth2Authentication authentication) {
	Map<String, String> values = new LinkedHashMap<String, String>();
	OAuth2Request authorizationRequest = authentication.getOAuth2Request();
	if (!authentication.isClientOnly()) {
		values.put(USERNAME, authentication.getName());
	}
	if (authorizationRequest.getScope() != null) {
		values.put(SCOPE, OAuth2Utils.formatParameterList(new TreeSet<String>(authorizationRequest.getScope())));
	}
	return generateKey(values);
}

  • 最后在 authserver 中注入新的 TokenService 即可

幼儿园总裁丶
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security OAuth2 实现登录的示例代码
08-19
主要介绍了Spring Security OAuth2实现登录的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
java开源包2
06-28
同时,任何第三方都可以使用OAUTH认证服务,任 何服务供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界供了OAUTH的多种实现如PHP,JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间...
登录超时示+下线实现spring security
zwrlj527的专栏
11-02 3079
spring security用户登录session登录管理真强大,虽然说很重,但是用起来确实方便。现在spring security不像以前了,它也与时俱进,配置早springBoot里做的很友好了你们猜.maximumSessions(2)会先哪个?如果要加信息推送知道在那里加了吧?认真看TODO好了,就到这吧,UPing!!
oauth2如何实现登录
qq_42176433的博客
03-10 568
Oauth2登录
Spring Security框架中下线技术探索
最新发布
2301_82257730的博客
04-18 610
在上面我们已经说过了,既然是看源码,我们需要找到入口,这是看源码最好的方式,我们在使用Spring Session组件时,需要使用@EnableRedisHttpSession注解,那么该注解就是我们需要重点关注的对象,我们需要搞清楚,该注解的作用是什么?我们分析了Spring Session针对Session基于Redis的实现,接下来,我们从源码中已经知道了该如何查找Session会话以及销毁会话的方法,此时,我们可以来改造我们的框架代码了。
Spring Security Oauth2.1 最新版 1.1.0 整合 (基于 springboot 3.1.0)gateway 完成授权认证
热门推荐
Ricardo.M.Yu的博客
06-14 1万+
Spring Boot 3.1 供了一个 spring-boot-starter-oauth2-authorization-server 启动器,可以支持 Spring Authorization Server 的自动配置,轻松配置基于 ServletOAuth2 授权服务器,同时@EnableAuthorizationServer这些注解也早已废弃。用这个请求来模拟客户端,实际开发中,其实是先访问资源服务,由资源服务来拼接这几个参数来重定向到授权服务的,参数意义如下,
SpringSecurity整合springBoot、redis——实现登录
mofsfely2的博客
05-09 2198
背景 基于我的文章——《SpringSecurity整合springBoot、redis token动态url权限校验》。要实现的功能是要实现一个用户不可以同时在两台设备上登录,有两种思路: (1)后来的登录自动掉前面的登录。 (2)如果用户已经登录,则不允许后来者登录。 需要特别说明的是,项目的基础是已经是redis维护的session。 配置redisHttpSession 设置spring session由redis 管理。 2.1去掉yml中的http session 配置,yml和注解两者只选其
基于若依框架springsecurity添加多种用户登录解决方案(springsecurity多用户登录:前端用户、后端用户)
rg10szc的博客
03-17 1万+
自己需求如下(多种用户登录): 后端pc管理员账号、手机app用户,若依框架使用springsecurity框架到验证数据库那一步只能继承UserDetailsService(String username)这个方法,而且只能传递一个username,由于我是多张用户表,就自己想了个方案解决这个问题(把username改成JSON:{username:"admin",userType:"admin"}字符串),为了尽量少改若依原框架,且满足自己项目需求。熟悉springsecurity的可以修改增加filt
基于SpringBoot,ORM-Mybatis,SpringMVC和多种组件构建的企业信息化开发基础平台,快速构建OA、CMS
06-16
单点登录: OAuth2.0+JWT单点登录/CAS单点登录 用户管理: 系统用户 角色管理: 按照企业系统职能进行角色分配,每个角色具有不同的系统操作权限 权限管理: 权限管理细分到系统菜单权限 在线管理:管理在线用户,...
java开源包3
06-28
同时,任何第三方都可以使用OAUTH认证服务,任 何服务供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界供了OAUTH的多种实现如PHP,JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间...
php 掉在线用户
u013329167的博客
08-26 1973
session 建立会话会在session.save_path 生成一个sess_   的文件,如果清空该文件内容,就可以迫使 在线用户重新登录了。 1.在用户表建立一个字段比如session 保存此次登录的时生成的session_id; 2.管理员就可以根据用户表的session_id,来清空用户登录时生成的session 文件了。 注意:session.save_hand
Spring Security 自动掉前一个登录用户的实现代码
08-19
主要介绍了Spring Security 自动掉前一个登录用户的实现代码,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security 3多用户登录实现之七 用户验证失败处理改进
04-13
NULL 博文链接:https://dreamzhong.iteye.com/blog/1722422
Spring Security 3多用户登录实现之十一 退出
04-13
NULL 博文链接:https://dreamzhong.iteye.com/blog/1729288
Spring Cloud 之 Gateway、Spring SecurityOauth2 的整合
XiaoY的专栏
12-24 7434
目录1)learn-shop-public-auth(认证中心)1、生成JKS2、添加pom.xml中主要依赖3、添加主要类3.1 目录结构及主要类说明3.2 WebSecurityConfig3.4 JwtTokenEnhancer3.5 CustomUserDetailsService4、添加公钥访问地址5、添加配置文件2)learn-cloud-gateway(资源中心)1、目录结构2、AuthorizationManager3、ResourceServerConfig4、配置文件 源码地址:看这里,
spring Cloud微服务 security+oauth2认证授权中心自定义令牌增强,并实现登录和退出
write less , do more
10-24 6301
访问oauth/token,oauth2默认返回的授权token信息如下:如果不自定义可以看到访问oauth/token,默认访问的是TokenEndpoint下的接口/*** Oauth2 控制器} /*** 自定义 Token 返回对象** @return= null) {} }
轻量级权限框架之-Sa-ToKen
wgy_BUG的博客
02-22 767
关于我重生为一名程序猿后-学习的超好用的权限认证框架之 Sa-Token
Spring Security+JWT+OAuth2实现同一账号重复登录时第一次登陆成功的强制下线(包括多平台使用同一个登陆系统的)
m0_53559551的博客
07-08 3422
引言 我们后台项目是用Spring Security+JWT+OAuth2做的安全框架,现在有个需求就是同一账号重复登录时第一次登陆成功的强制下线。尝试了很多方法无果,当时真的是被弄得焦头烂额了。最后功夫不负有心人,最后找到了解决方案,下面跟大家分享下。 单平台 具体实现方案就是重写DefaultTokenServices的createAccessToken方法(下发token的方法) 虽说是重写但是我们新建了一个SingleTokenServices类,将DefaultTokenServices中的方法复
SpringSecurity实现多个用户表登录
JSZDJQ的博客
02-02 2146
学习 Spring Security 实现多用户表登录
springsecurity基于token存放授权信息的方法
03-28
Spring Security支持基于Token存储授权信息的方式。以下是一些常见的方法: 1. 基于JWT:JWT(Json Web Token)是一种轻量级的认证和授权协议,它可以在不需要服务器端存储的情况下传递信息。Spring Security供了一个JWT模块,可以轻松地集成JWT到应用程序中。它可以使用JJWT库来生成和验证JWT令牌。 2. 基于OAuth2:OAuth2是一种用于授权的开放标准,可以使第三方应用程序访问用户在另一个应用程序中存储的资源。Spring Security供了一个OAuth2模块,可以使用它来实现基于Token的授权。可以使用Spring Security OAuth2的Token Store来存储令牌。 3. 基于Session:基于Session的身份验证是传统的身份验证方法,它将用户的身份验证信息存储在服务器端的会话中。在Spring Security中,可以使用基于Session的Token存储来存储授权信息。可以使用Spring Security的Session Management功能来管理会话。 总之,Spring Security供了多种基于Token存储授权信息的方法,可以根据实际需求选择合适的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值