时间:2021-05-20
这篇文章主要介绍了Spring Security实现禁止用户重复登陆的配置原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
系统使用了Spring Security做权限管理,现在对于系统的用户,需要改动配置,实现无法多地登陆。
一、SpringMVC项目,配置如下:
首先在修改Security相关的XML,我这里是spring-security.xml,修改UsernamePasswordAuthenticationFilter相关Bean的构造配置
加入
新增sas的Bean及其相关配置
<bean id="sas" class="org.springframework.security.web.authentication.session.CompositeSessionAuthenticationStrategy"> <constructor-arg> <list> <bean class="org.springframework.security.web.authentication.session.ConcurrentSessionControlAuthenticationStrategy"> <constructor-arg ref="sessionRegistry"/> <!-- 这里是配置session数量,此处为1,表示同一个用户同时只会有一个session在线 --> <property name="maximumSessions" value="1" /> <property name="exceptionIfMaximumExceeded" value="false" /> </bean> <bean class="org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy"> </bean> <bean class="org.springframework.security.web.authentication.session.RegisterSessionAuthenticationStrategy"> <constructor-arg ref="sessionRegistry"/> </bean> </list> </constructor-arg> </bean> <bean id="sessionRegistry" class="org.springframework.security.core.session.SessionRegistryImpl" />加入ConcurrentSessionFilter相关Bean配置
<bean id="concurrencyFilter" class="org.springframework.security.web.session.ConcurrentSessionFilter"> <constructor-arg name="sessionRegistry" ref="sessionRegistry" /> <constructor-arg name="sessionInformationExpiredStrategy" ref="redirectSessionInformationExpiredStrategy" /> </bean> <bean id="redirectSessionInformationExpiredStrategy" class="org.springframework.security.web.session.SimpleRedirectSessionInformationExpiredStrategy"> <constructor-arg name="invalidSessionUrl" value="/login.html" /> </bean>二、SpringBoot项目
略
三、Bean配置说明
四、代码流程说明(这里模拟用户现在A处登录,随后用户在B处登录,之后A处再进行操作时会返回失败,提示重新登录)
1、用户在A处登录,UsernamePasswordAuthenticationFilter调用sessionStrategy.onAuthentication进行session验证
2、ConcurrentSessionControlAuthenticationStrategy中的onAuthentication开始进行session验证,服务器中保存了登录后的session
/** * In addition to the steps from the superclass, the sessionRegistry will be updated * with the new session information. */ public void onAuthentication(Authentication authentication, HttpServletRequest request, HttpServletResponse response) { //根据所登录的用户信息,查询相对应的现存session列表 final List<SessionInformation> sessions = sessionRegistry.getAllSessions( authentication.getPrincipal(), false); int sessionCount = sessions.size(); //获取session并发数量,对于XML中的maximumSessions int allowedSessions = getMaximumSessionsForThisUser(authentication); //判断现有session列表数量和并发控制数间的关系 //如果是首次登录,根据xml配置,这里应该是0<1,程序将会继续向下执行, //最终执行到SessionRegistryImpl的registerNewSession进行新session的保存 if (sessionCount < allowedSessions) { // They haven't got too many login sessions running at present return; } if (allowedSessions == -1) { // We permit unlimited logins return; } if (sessionCount == allowedSessions) { //获取本次http请求的session HttpSession session = request.getSession(false); if (session != null) { // Only permit it though if this request is associated with one of the // already registered sessions for (SessionInformation si : sessions) { //循环已保存的session列表,判断本次http请求session是否已经保存 if (si.getSessionId().equals(session.getId())) { //本次http请求是有效请求,返回执行下一个filter return; } } } // If the session is null, a new one will be created by the parent class, // exceeding the allowed number } //本次http请求为新请求,进入具体判断 allowableSessionsExceeded(sessions, allowedSessions, sessionRegistry); }/** * Allows subclasses to customise behaviour when too many sessions are detected. * * @param sessions either <code>null</code> or all unexpired sessions associated with * the principal * @param allowableSessions the number of concurrent sessions the user is allowed to * have * @param registry an instance of the <code>SessionRegistry</code> for subclass use * */ protected void allowableSessionsExceeded(List<SessionInformation> sessions, int allowableSessions, SessionRegistry registry) throws SessionAuthenticationException { //根据exceptionIfMaximumExceeded判断是否要将新http请求拒绝 //exceptionIfMaximumExceeded也可以在XML中配置 if (exceptionIfMaximumExceeded || (sessions == null)) { throw new SessionAuthenticationException(messages.getMessage( "ConcurrentSessionControlAuthenticationStrategy.exceededAllowed", new Object[] { Integer.valueOf(allowableSessions) }, "Maximum sessions of {0} for this principal exceeded")); } // Determine least recently used session, and mark it for invalidation SessionInformation leastRecentlyUsed = null; //若不拒绝新请求,遍历现存seesion列表 for (SessionInformation session : sessions) { //获取上一次/已存的session信息 if ((leastRecentlyUsed == null) || session.getLastRequest() .before(leastRecentlyUsed.getLastRequest())) { leastRecentlyUsed = session; } } //将上次session信息写为无效(欺骗) leastRecentlyUsed.expireNow(); }3、用户在B处登录,再次通过ConcurrentSessionControlAuthenticationStrategy的检查,将A处登录的session置于无效状态,并在session列表中添加本次session
4、用户在A处尝试进行其他操作,ConcurrentSessionFilter进行Session相关的验证,发现A处用户已经失效,提示重新登录
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) req; HttpServletResponse response = (HttpServletResponse) res; //获取本次http请求的session HttpSession session = request.getSession(false); if (session != null) { //从本地session关系表中取出本次http访问的具体session信息 SessionInformation info = sessionRegistry.getSessionInformation(session .getId()); //如果存在信息,则继续执行 if (info != null) { //判断session是否已经失效(这一步在本文4.2中被执行) if (info.isExpired()) { // Expired - abort processing if (logger.isDebugEnabled()) { logger.debug("Requested session ID " + request.getRequestedSessionId() + " has expired."); } //执行登出操作 doLogout(request, response); //从XML配置中的redirectSessionInformationExpiredStrategy获取URL重定向信息,页面跳转到登录页面 this.sessionInformationExpiredStrategy.onExpiredSessionDetected(new SessionInformationExpiredEvent(info, request, response)); return; } else { // Non-expired - update last request date/time sessionRegistry.refreshLastRequest(info.getSessionId()); } } } chain.doFilter(request, response); }5、A处用户只能再次登录,这时B处用户session将会失效重登,如此循环
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
这里使用的是spring-security和原生的jasigcas包来进行整合,为什么没有直接使用spring提供的spring-security-cas,后面
国际化配置basename中配置的是消息文件的路径在spring-security-core-3.2.0.M1.jar包中的org.springframewor
亲,网页修改登陆密码,可点此进入(https://member1.taobao.com/member/fresh/account_security.htm?sp
1.功能简介此程序模拟用户登陆商城后购买商品操作。可实现用户登陆、商品购买、历史消费记查询、余额和消费信息更新等功能。首次登陆输入初始账户资金,后续登陆则从文件
在域环境中,怎样设置指定的域用户名登陆本机,其他的域用户名禁止登陆,管理员不受限制?1、打开【控制面板】-【管理】-【计算机管理】2、展开左侧的【本地用户和组】