使用shiro时实现账户只能在一个地方登录,异地登陆挤下线
想实现账户只能在一台机器登录,异地登陆时把之前的账户挤下线,只需要把旧登陆地点的session会话信息删除即可。
示例
以下代码要插入在合适的位置。如果在密码核对前就插入会导致输入错误密码时也会把之前的账户挤下线。
// 双因素登录认证是否开启
//检测当前账户是否已经在其他位置登录,如果已经登陆删除旧会话信息
DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager();
DefaultWebSessionManager sessionManager = (DefaultWebSessionManager)securityManager.getSessionManager();
//获取当前已登录的用户session会话信息列表
Collection<Session> activeSessions = sessionManager.getSessionDAO().getActiveSessions();
for(Session session:activeSessions){
//查找是否有当前登录账户的记录,有就清除该用户以前登录时保存的session会话信息
Object obj = session.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY);
if(null!=obj){
if(obj instanceof SimplePrincipalCollection){
//强转
SimplePrincipalCollection spc = (SimplePrincipalCollection)obj;
//使用ObjectMapper实例将获取到的spc对象转为需要的user对象。
ObjectMapper objectMapper=new ObjectMapper();
User userToCheckState = objectMapper.convertValue(spc.getPrimaryPrincipal(), User.class);
//对比当前登录账户和已登陆账户的用户名或者id是否为同一个
if(user.getUname().equals(userToCheckState.getUname())){
sessionManager.getSessionDAO().delete(session);
}
}
}
}
大概逻辑就这样,可根据自己的需求做修改