spring security使用自定义的的AuthenticationFilter时,要限制session个数,禁止多端同时登录

最新推荐文章于 2023-07-06 10:25:11 发布
最新推荐文章于 2023-07-06 10:25:11 发布
阅读量1.2k 收藏 6
点赞数 3
分类专栏: 框架 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaowu_first/article/details/115706985
版权

在WebSecurityConfigurerAdapter#configure(HttpSecurity)方法中配置session管理没有效果,因为我们使用了自己的AuthenticationFilter,只能手动给LoginFilter配置SessionAuthenticationStrategy。

@Configuration
public class CustomFilterSecurityConfig extends WebSecurityConfigurerAdapter {

    //sessesion失效所需要的监听器,spring security默认配置过个bean,我们只需要自动注入即可
    @Autowired
    DelegatingApplicationListener delegatingApplicationListener;
    //省略其他......
       @Bean
    public LoginFilter loginFilter() throws Exception {
                LoginFilter loginFilter = new LoginFilter();
		//省略其他......
        //自定义filter要手动配置SessionAuthenticationStrategy
        loginFilter.setSessionAuthenticationStrategy(sessionAuthenticationStrategy());
        return loginFilter;
    }
       @Bean
    public SessionAuthenticationStrategy sessionAuthenticationStrategy() {
        
        SessionRegistryImpl sessionRegistry = new SessionRegistryImpl();
        ConcurrentSessionControlAuthenticationStrategy concurrentSessionControlStrategy =
                new ConcurrentSessionControlAuthenticationStrategy(sessionRegistry);
        delegatingApplicationListener.addListener(new GenericApplicationListenerAdapter(sessionRegistry));
        concurrentSessionControlStrategy.setMaximumSessions(1);
        //除非先在以前的客户端登出,否则不能在新的客户端登录
        concurrentSessionControlStrategy.setExceptionIfMaximumExceeded(true);
        //要注意这3个实例在集合中的顺序
        CompositeSessionAuthenticationStrategy delegateStrategies = new CompositeSessionAuthenticationStrategy(
                Arrays.asList(concurrentSessionControlStrategy,
                        new ChangeSessionIdAuthenticationStrategy(),
                        new RegisterSessionAuthenticationStrategy(sessionRegistry)
                ));
        return delegateStrategies;
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //替代默认的UsernamePasswordAuthenticationFilter
        http.addFilterAt(loginFilter(), UsernamePasswordAuthenticationFilter.class);
        http.authorizeRequests()
               //这里的配置session管理没用,因为我们使用了自己的AuthenticationFilter
                .sessionManagement()
                .maximumSessions(1)
                .maxSessionsPreventsLogin(true)
        ;

    }
}

SessionAuthenticationStrategy 是一个接口,我们不能只使用ConcurrentSessionControlAuthenticationStrategy做session管理,而应该使用CompositeSessionAuthenticationStrategy实例。CompositeSessionAuthenticationStrategyConcurrentSessionControlAuthenticationStrategyChangeSessionIdAuthenticationStrategyRegisterSessionAuthenticationStrategy组合起来,使用了典型的委托组合设计模式(或代理模式),CompositeSessionAuthenticationStrategy在onAuthentication方法中循环调用这三个实例它们自己的onAuthentication.

这里的RegisterSessionAuthenticationStrategy做session注册的,它比较重要,若没有它就无法检测登录的session次数。

我的SessionAuthenticationStrategy配置也是参考配置类方法SessionManagementConfigurer#getSessionAuthenticationStrategy来实现的。可以看出阅读源码是多么重要吧! 

private SessionAuthenticationStrategy getSessionAuthenticationStrategy(H http) {
   if (this.sessionAuthenticationStrategy != null) {
      return this.sessionAuthenticationStrategy;
   }
   List<SessionAuthenticationStrategy> delegateStrategies = this.sessionAuthenticationStrategies;
   SessionAuthenticationStrategy defaultSessionAuthenticationStrategy;
   if (this.providedSessionAuthenticationStrategy == null) {
      // If the user did not provide a SessionAuthenticationStrategy
      // then default to sessionFixationAuthenticationStrategy 
       //执行这个分支defaultSessionAuthenticationStrategy是一个ChangeSessionIdAuthenticationStrategy实例
      defaultSessionAuthenticationStrategy = postProcess(this.sessionFixationAuthenticationStrategy);
   }
   else {
      defaultSessionAuthenticationStrategy = this.providedSessionAuthenticationStrategy;
   }
   if (isConcurrentSessionControlEnabled()) {
       //配置ConcurrentSessionControlAuthenticationStrategy
      SessionRegistry sessionRegistry = getSessionRegistry(http);
      ConcurrentSessionControlAuthenticationStrategy concurrentSessionControlStrategy = new ConcurrentSessionControlAuthenticationStrategy(
            sessionRegistry);
      concurrentSessionControlStrategy.setMaximumSessions(this.maximumSessions);
      concurrentSessionControlStrategy.setExceptionIfMaximumExceeded(this.maxSessionsPreventsLogin);
      concurrentSessionControlStrategy = postProcess(concurrentSessionControlStrategy);
 //配置RegisterSessionAuthenticationStrategy
      RegisterSessionAuthenticationStrategy registerSessionStrategy = new RegisterSessionAuthenticationStrategy(
            sessionRegistry);
      registerSessionStrategy = postProcess(registerSessionStrategy);

      delegateStrategies.addAll(Arrays.asList(concurrentSessionControlStrategy,
            defaultSessionAuthenticationStrategy, registerSessionStrategy));
   }
   else {
      delegateStrategies.add(defaultSessionAuthenticationStrategy);
   }
    //将上面3个SessionAuthenticationStrategy传入CompositeSessionAuthenticationStrategy的构造方法
   this.sessionAuthenticationStrategy = postProcess(
         new CompositeSessionAuthenticationStrategy(delegateStrategies));
   return this.sessionAuthenticationStrategy;
}
蜀中孤鹰
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
Spring Security 自定义登录Session配置
CodingGoat
02-18 1928
有这样一个需求,一个账号只能在一个客户端浏览器上登录,如果同样的账号在别的客户端浏览器上登录的话,之前的登录需要被踢下去
深入浅出Spring Security(五):认证和授权的过程
紫眸的博客
10-12 4500
上篇回顾 上篇介绍了HttpSecurity如何建造过滤器链,本文主要介绍几个主要的过滤器。 认证过滤器 UsernamePasswordAuthenticationFilter 参数有username,password的,走UsernamePasswordAuthenticationFilter,提取参数构造UsernamePasswordAuthenticationToken进行认证,成功则填...
前后分离项目整合spring security自定义登录验证接口,并解决maximumSessions(1)不生效的问题
Johnson_7的博客
09-19 4222
前后分离项目整合spring security自定义登录验证接口,并解决maximumSessions(1)不生效的问题
深入理解SpringSecurity中的Authentication信息与登录流程和过滤器的配置:addFilterBefore
m0_71777195的博客
07-06 2043
每个请求到达服务端的候,首先从session中找出SecurityContext ,为了本次请求之后都能够使用,设置到SecurityContextHolder 中。当请求离开的候,SecurityContextHolder 会被清空,且SecurityContext 会被放回session中,方便下一个请求来获取。
关于Spring Security自定义UsernamePasswordAuthenticationFilter后用户并发控制无效
weixin_43497184的博客
01-15 3790
问题解决前的实现: @Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter { // ... other config ... protected void configure(HttpSecurity http) throws Exception { http .addF...
SpringSecurity3.1.2控制一个账户同只能登录一次
热门推荐
liufeng520的专栏
10-30 1万+
网上看了很多资料,发现多多少少都有一些不足(至少我在使用候没成功),后来经过探索研究,得到解决方案。   具体SpringSecurity3怎么配置参考SpringSecurity3.1实践,这里只讲如何配置可以控制一个账户同只能登录一次的配置实现。   网上很多配置是这样的,在标签中加入concurrency-control配置,设置max-sessions=1。 Xml
spring security自定义登录页面
08-29
在项目中我们肯定不能使用Spring自己生成的登录页面,而要用我们自己的登录页面,下面通过本文给大家分享spring security自定义登录页面的实现方法,一起看看吧
spring security自定义认证登录的全过程记录
08-28
主要给大家介绍了关于spring security自定义认证登录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
Spring Security自定义登录原理及实现详解
09-07
主要介绍了Spring Security自定义登录原理及实现详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring-security实现自定义登录认证.rar
05-21
springboot集成spring-security,实现自定义登录认证,代码亲测,同附带jwt+security集成的代码,亲测可用
解析SpringSecurity自定义登录验证成功与失败的结果处理问题
08-25
主要介绍了SpringSecurity系列之自定义登录验证成功与失败的结果处理问题,本文通过实例给大家讲解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity原理(五)——扩展与配置
trayvontang的博客
05-07 1987
文章目录简介自定义扩展自定义Filter自定义登出成功处理器认证失败处理器AuthenticationSuccessHandler认证异常跳转入口授权异常处理器自定义认证凭证自定义认证器自定义投票者配置配置WebSecurity配置HttpSecurity几个重要的类与接口SecurityBuilderSecurityConfigurerSecurityConfigurerAdapterAbstractHttpConfigurerWebSecurityConfigurerWebSecurityConfigu
史上最简单的Spring Security教程(二十五):UsernamePasswordAuthenFilter详解
银河架构师的博客
08-28 3565
​在Spring Security框架中,最常用的 Filter 便是表单登录Filter,即 UsernamePasswordAuthenticationFilter。 下面我们就来一起详细了解一下这个 Filter 的具体功用。 首先,既然是Filter,势必要实现 Filter 接口吧,不过,确实实现了 Filter 接口。 从上图中,能清晰的了解到 UsernamePasswordAuthenticationFilter 的继承关系,也确实实现了 Filter 接口。 那么,我们便从..
spring boot使用spring security 的基本配置 以及 限制同一账号不能多处登录
weixin_40340362的博客
01-09 1837
关于如何spring boot 整合spring security 请自行百度,这里只是简单描述spring security 的配置项。  @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true)// 启用 Spring Security 全局方法 //prePostEnabled...
spring security 使用自定义AuthenticationFilter,提示Invalid remember-me cookie,自动登录失败的解决方法
小伍的程序之路
04-14 808
spring security使用自定义AuthenticationFilter,提示Invalid remember-me cookie,自动登录失败的解决方法 后台日志报错提示 Invalid remember-me cookie: Cookie token[2] contained signature ‘1706b276eae214cc837865d3c508cf01’ but expected ‘84908c8a60e515d544d96550496f0daf’ 我自定义了一个Login
盘点认证框架 : SpringSecurity Filter
black-ant
08-03 551
首先分享之前的所有文章 , 欢迎点赞收藏转发三连下次一定 >>>> ???????????? 文章合集 : ???? https://juejin.cn/post/6941642435189538824 Github : ???? https://github.com/black-ant CASE 备份 : ???? https://gitee.com/antblack/case 一 . 前言 上一篇聊了聊 Secutity 的基础 , 这一篇我们聊一聊 S
spring security自定义登录授权过滤器限制同一账号同在线数量
L_D_W的博客
10-25 2136
摘要:本文主要目的是解决spring security使用自定义登录授权过滤器,在protected void configure(final HttpSecurity http)方法中设置maximumSessions属性不生效的问题。本文只是进行了粗略的思路,包含主要的代码片段,并非完整的业务代码,仅供参考。
配置Spring Security AuthenticationFilterAuthenticationPrincipal
qiuweifan的博客
04-01 1878
5.自定义Spring Security AuthenticationFilter 最后,让我们编写JWTAuthenticationFilter从请求中获取 JWT 令牌,对其进行验证,加载与令牌关联的用户,并将其传递给 Spring Security - public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider tokenProvi
Spring Security系列(一):自定义AuthenticationFilter
u013244613的博客
03-27 1833
Spring Security自定义AuthenTokenFilter
SpringSecurity自定义AuthenticationProvider和AuthenticationFilter
最新发布
08-25
SpringSecurity提供了自定义AuthenticationProvider和AuthenticationFilter的功能。在Spring Security中,AuthenticationProvider是一个接口,用于对用户进行身份验证。默认的实现是DaoAuthenticationProvider。你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值