关于使用SpringSecurity不能设置Session并发无效、剔除前一个用户无效的核心解决方案

最新推荐文章于 2024-07-24 10:53:29 发布
最新推荐文章于 2024-07-24 10:53:29 发布
阅读量1.7w 收藏 29
点赞数 11
分类专栏: Java 文章标签: session SpringSecurity 并发 剔除前一个用户
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xusanhong/article/details/53260373
版权

那些年掉过SpringSecurity的坑。

最近在研究SpringBoot集成SpringSecurity权限框架的Demo,关于怎么集成,网上一大片的文章,我就不废话多说了,自行百度解决。


我使用的是注解配置,类继承WebSecurityConfigurerAdapter适配器,重写configure(HttpSecurity http)方法配置参数等。


然后是继承UserDetails抽象接口实现自定义的User对象,而SpringSecurity管理Session也是通过管理User对象实现的。


然后到了配置Session的并发步骤了,不管是通过HttpSecurity配置还是XML方式配置其目的都是一样的,以下是HttpSecurity配置。

http.sessionManagement()//Session管理器
	.maximumSessions(1)
	.sessionRegistry(sessionRegistry)
	.expiredUrl("/Member/Login.html");
好了,maximumSessions(1)是配置好了,然后去启动项目,然后你会发现登录同一个账号,并没有剔除前一个账号,这是怎么回事呢?

抛开框架暂且不说,如果是我直接写一个剔除前一个用户的话,我肯定是要得到全部用户,然后挨个挨个遍历筛选,如果存在当前登录用户就剔除前一个用户,这个需要使用if比较来实现的。

好了,问题找到了,因为SpringSecurity是通过管理UserDetails对象来实现用户管理的,按照上一步的原理,是需要进行比较实现效果的,然后呢,类的比较是不能用==比较的,类之间的比较是通过类的equals方法进行比较的,好了,问题找到了,我们自定义的User对象是没有实现equals方法的,好了,我们现在开始重写equals方法吧,关于重写的规则是:如果要重写equals方法,那么就必须要重写toStirng方法,如果要重写toString方法就最好要重写hashCode方法,所以我们需要在自定义的User对象中重写三个方法,hashCode、toString和equals方法。 

	@Override
	public String toString() {
		return this.userName;
	}
	
	@Override
	public int hashCode() {
		return userName.hashCode();
	}
	
	@Override
	public boolean equals(Object obj) {
		return this.toString().equals(obj.toString());
	}


下面是我自定义的User类(只是示例,没有配置权限相关): 
import java.util.Collection;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import com.hong610.domain.User;

/**
 * SpringSecurity User
 * @author Hong
 * @Date 2016年11月20日
 */
public class UserDetail implements UserDetails {
	
	private String userName;

	private String userPwd;

	private static final long serialVersionUID = 1L;

	public UserDetail(User user) {
		this.setUserName(user.getUserName());
		this.setUserPwd(user.getUserPwd());
	}

	@Override
	public Collection<? extends GrantedAuthority> getAuthorities() {
		return null;
	}

	@Override
	public String getPassword() {
		return this.getUserPwd();
	}

	@Override
	public String getUsername() {
		return this.getUserName();
	}

	@Override
	public boolean isAccountNonExpired() {
		return true;
	}

	@Override
	public boolean isAccountNonLocked() {
		return true;
	}

	@Override
	public boolean isCredentialsNonExpired() {
		return true;
	}

	@Override
	public boolean isEnabled() {
		return true;
	}

	public String getUserName() {
		return userName;
	}

	public void setUserName(String userName) {
		this.userName = userName;
	}

	public String getUserPwd() {
		return userPwd;
	}

	public void setUserPwd(String userPwd) {
		this.userPwd = userPwd;
	}
	
	@Override
	public String toString() {
		return this.userName;
	}
	
	@Override
	public int hashCode() {
		return userName.hashCode();
	}
	
	@Override
	public boolean equals(Object obj) {
		return this.toString().equals(obj.toString());
	}
}

Okay,重启项目,剔除前一个用户成功!

关于重写的规则参照《Effective Java》书籍。


亡灵公寓
关注
  • 11
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 31
    评论
专栏目录
项目配置了spring Security3 的并发session管理,一直无效
u010792280的专栏
06-03 1553
项目配置了spring Security3 的并发session管理,一直无效,2个相同账户依然可以登录,不知道什么原因,网上搜了很很多都不行,请大牛指点! web.xml    org.springframework.security.web.session.HttpSessionEventPublisher applicationContext-security.xm
Springboot集成SpringSecurity过程遇到的问题
徒手千行代码无bug
02-20 1142
一、配置的免登录访问接口不生效。 @Component @EnableWebSecurity public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { //免登录的接口 @Override public void configure(WebSecurity web) throws ...
springsecurity session并发问题
qq_34886599的博客
07-17 852
首先,先介绍一下登录互顶流程。 假设a账户在1处登录成功,此时,springsecuritysessionId和用户信息封装成sessionInfomation保存到 SessionRegistry对象, 然后a账户又在2处登录,此时会从sessionRegistry对象获取所有sessionInfomation,并判断有没有与当用户名一样的sessionInfomation,若有,就...
Spring Security 第三版(五)
最新发布
龙哥盟
07-24 767
原文:zh.annas-archive.org/md5/3E3DF87F330D174DBAF9E13DAE6DC0C5 译者:飞龙 协议:CC BY-NC-SA 4.0 第十三章:会话管理 本章讨论 Spring Security 的会话管理功能。它从举例说明 Spring Security 如何防御会话固定开始。然后我们将讨论并发控制如何被利用来限制按用户许可的软件的访问。我们还将看到会话管理如何被利用进行管理功能。最后,我们将探讨HttpSessionSpring Security 使用
spring security 3.x session-management 会话管理失效
08-03
实现会话控制,权限控制,免登陆的spring security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995886
SpringSecurity用法详解,解决maximumSessions(1)不生效的问题
woshihedayu的博客
02-07 4630
1、定义核心配置类,使用如下注解 @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapter 在配置类注入所需属性 @Autowired private UserDetailsService userDetailsService; @Autowire
spring-security(五):会话管理:为何使用了自定义数据库模型后,session管理策略不生效了?
suvue
05-03 594
1.解决方案 重写实体类的hashcode()方法和equals方法,参考如下: public class SysUsers implements UserDetails { private String userName; //.......省略属性信息、setter、getter方法以及实现的方法 @Override public int hashCode(...
spring security(七) session 并发一个用户在线后其他的设备登录此用户失败
哎幽的成长
08-23 1万+
这又是 一片 关于security 的文章,用于解决 session 并发问题 ,同时只有一个用户,在线。 有一个用户在线后其他的设备登录此用户失败。本文代码,是基于 springboot+security restful权限控制官方推荐(五) 的代码未完待续。。。。只是先把代码粘出来,然后再做修改1. 修改security配置修改 WebSecurityConfig 文件 添加 SessionR
java怎么实现踢掉在线用户_Spring Security 自动踢掉一个登录用户的实现代码
weixin_35060159的博客
02-25 702
登录成功后,自动踢掉一个登录用户,松哥第一次见到这个功能,就是在扣扣里边见到的,当时觉得挺好玩的。自己做开发后,也遇到过一模一样的需求,正好最近的 Spring Security 系列正在连载,就结合 Spring Security 来和大家聊一聊这个功能如何实现。本文是本系列的第十三篇,阅读面文章有助于更好的理解本文:1.需求分析在同一个系统,我们可能只允许一个用户一个终端上登录,一般来...
Spring Security系列】Spring Security会话管理
qq_28248897的博客
07-01 1383
只需在两个浏览器用同一个账号登录就会发现,到目为止,系统尚未有任何会话并发限制。一个账户能多处同时登录可不是一个好的策略。事实上,Spring Security已经为我们提供了完善的会话管理功能,包括会话固定攻击、会话超时检测以及会话并发控制。 1.什么是会话 会话(session)就是无状态的 HTTP 实现用户状态可维持的一种解决方案。HTTP 本身的无状态使得用户在与服务器的交互过程,每个请求之间都没有关联性。这意味着用户的访问没有身份记录,站点也无法为用户提供个性化的服务。session
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3515
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1512
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目发展到2.0版本,1.0版本过
Spring Boot + Vue 后端分离项目,如何踢掉已登录用户
m0_70274918的博客
05-03 398
首先,我们打开[Spring Security+Spring Data Jpa 强强联手,安全管理只有更简单!](()一文的案例,这个案例结合 Spring Data Jpa 将用户数据存储到数据库去了。 然后我们将上篇文章涉及到的登录页面拷贝到项目(文末可以下载完整案例): [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7XB0viq6-1588898082940)(http://img.itboyhub.com/2020/04/20200506204420.pn.
spring boot security 配置session失效
gm371200587的博客
05-22 6516
1.启动类文件夹加入一个filter package com.mozi.hip.empi.web.config;   import java.io.IOException;   import javax.servlet.FilterChain; import javax.servlet.ServletException; import j...
基于java config的springSecurity(五)--session并发控制
热门推荐
xiejx618的专栏
01-20 1万+
参考spring-security-reference.pdf的Session Management.特别是Concurrency Control小节. 管理session可以做到: a.跟踪活跃的session,显示在线用户,基于将用户下线. b.控制并发,即一个用户最多可以使用多少个session登录,比如设为1,结果就为,同一个时间里,第二处登录要么不能登录,要么使一个登录失效.
spring security 用JPA进行安全管理使用自定义的UserDetails时,maximumSessions()无法限制Session
小伍的程序之路
04-14 658
这是我自定义的UserDetails,这个user对象会保存到数据库。 //自定义的User @Entity(name = "t_user") public class User implements UserDetails, CredentialsContainer { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; private String username;
Springboot +spring session,实现session并发控制
m0_58620140的博客
11-13 264
默认是username,但是我们项目的用户名是可以重复的,所以踢人下线用用户名就有问题。在登录成功的地方,设置一下即可。
关于spring security自定义sessionRegistry不工作的原因简析
weixin_33847182的博客
07-09 2430
最近调了一下spring security的集群session共享,用到了自定义的SessionRegistry,却发现怎么也不工作,翻了翻stackoverfllow,也没找到靠谱的办法,最后自己debug,找到了问题所在本文基于 Spring3.1.5,Spring security 2.0.4最开始配置如下:<beans:beanid="sessionRegis...
后分离项目整合spring security,自定义登录验证接口,并解决maximumSessions(1)不生效的问题
Johnson_7的博客
09-19 5363
后分离项目整合spring security,自定义登录验证接口,并解决maximumSessions(1)不生效的问题
评论 31
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值