2. 程式人生 > >spring security 在沒實現session共享的叢集環境下 防止使用者多次登入的 實現思路

spring security 在沒實現session共享的叢集環境下 防止使用者多次登入的 實現思路

阿新 發佈:2019-01-05

背景

  • 專案採用阿里雲負載均衡,基於cookie的會話保持。
  • 沒有實現叢集間的session共享。
  • 專案採用spring security 並且配置了session策略如下:
<bean
                    class="org.springframework.security.web.authentication.session.ConcurrentSessionControlAuthenticationStrategy">
                    <constructor-arg ref="sessionRegistry" />
                    <property
 
 name="maximumSessions" value="1" />
                    <property name="exceptionIfMaximumExceeded" value="false" />
                </bean>

一個賬戶只對應一個session,也就是一個使用者在不同瀏覽器登陸,後登陸的會導致前面登陸的session失效。

問題分析

叢集環境下,導致maximumSessions的配置失效。並不能實現預期的目標。因為session沒有共享。

解決思路

  • 採用spring data redis session解決實現session共享,統一管理。
    但是由於專案集成了過多的開源框架,由於版本原因,很難整合到一起。並且專案測試已經接近尾聲,因此沒有采用。

  • zookeeper監聽使用者session 方式,後登陸時操作對應節點,觸發監聽事件,使其先建立的session失效。

最終採用zookeeper監聽session方式

具體程式碼

session上下文保持

package com.raymon.cloudq.util;

import javax.servlet.http.HttpSession;
import java.util.Map;
import java.util.concurrent.ConcurrentHashMap;

public class SessionContext {
    private
 
 static SessionContext instance;
    private Map<String, HttpSession> sessionMap;

    private SessionContext() {
        sessionMap = new ConcurrentHashMap<String, HttpSession>();
    }

    public synchronized static SessionContext getInstance() {
        if (instance == null) {
            instance = new SessionContext();
        }
        return instance;
    }

    public  void addSession(HttpSession session) {
        if (session != null) {
            sessionMap.put(session.getId(), session);
        }
    }

    public  void delSession(HttpSession session) {
        if (session != null) {
            sessionMap.remove(session.getId());
        }
    }

    public  void delSession(String sessionId) {
         sessionMap.remove(sessionId);
    }

    public  HttpSession getSession(String sessionId) {
        if (sessionId == null)
            return null;
        return sessionMap.get(sessionId);
    }
}

基於zookeeper的session控制介面

**
 * 由於session在叢集中沒有實現共享,一個賬戶只能對應一個session
 * 基於zookeeper監聽的 來控制
 */
public interface ClusterSessionsCtrlService {
    /**
     * 設定監聽
     */
    void setMaximumSessionsListener();

    /**
     * 註冊zookeeper sesssion資料
     * 後登陸的使用者會刪除先登入的節點,觸發監聽,讓先登陸的session失效
     * @param empId
     * @param httpSession
     */
    void registerZookeeperSession(Integer empId,HttpSession httpSession);

    /**
     * session超時,刪除zookeeper註冊資料
     * @param sessionId
     */
    void deleteZookeeperSessionRegister(String sessionId);
}

session控制介面實現類

package com.raymon.cloudq.service.impl;

import com.raymon.cloudq.service.ClusterSessionsCtrlService;
import com.raymon.cloudq.util.SessionContext;
import org.apache.commons.lang.StringUtils;
import org.apache.curator.RetryPolicy;
import org.apache.curator.framework.CuratorFramework;
import org.apache.curator.framework.CuratorFrameworkFactory;
import org.apache.curator.framework.api.transaction.CuratorOp;
import org.apache.curator.framework.api.transaction.CuratorTransactionResult;
import org.apache.curator.framework.recipes.cache.PathChildrenCache;
import org.apache.curator.framework.recipes.cache.PathChildrenCacheEvent;
import org.apache.curator.framework.recipes.cache.PathChildrenCacheListener;
import org.apache.curator.retry.ExponentialBackoffRetry;
import org.apache.zookeeper.CreateMode;
import org.apache.zookeeper.data.Stat;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.InitializingBean;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Service;

import javax.servlet.http.HttpSession;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

@Service
public class ClusterSessionsCtrlServiceImpl implements ClusterSessionsCtrlService, InitializingBean {
    @Value(" ${zookeeperhostName}")
    private String zookeeperConnectionString;
    private static String sessionPath = "/session";
    private static String sessionReaPath = "/sessionrea";
    protected static org.slf4j.Logger logger = LoggerFactory.getLogger(ClusterSessionsCtrlServiceImpl.class);
    private CuratorFramework client = null;

    @Override
    public void afterPropertiesSet() throws Exception {
        setMaximumSessionsListener();
    }

    @Override
    public void setMaximumSessionsListener() {
        RetryPolicy retryPolicy = new ExponentialBackoffRetry(1000, 3);
        client = CuratorFrameworkFactory.builder().connectString(zookeeperConnectionString)
                .sessionTimeoutMs(8000).retryPolicy(retryPolicy).build();
        client.start();
        try {
            Stat stat = client.checkExists().forPath(sessionPath);
            if (stat == null) {
                client.create().creatingParentsIfNeeded().withMode(CreateMode.PERSISTENT).forPath(sessionPath);
            }
            stat = client.checkExists().forPath(sessionReaPath);
            if (stat == null) {
                client.create().creatingParentsIfNeeded().withMode(CreateMode.PERSISTENT).forPath(sessionReaPath);
            }
        } catch (Exception e) {
            e.printStackTrace();
            logger.error("zookeeper建立/session失敗,原因{}", e.toString());
        }
        PathChildrenCache cache = null;
        try {
            cache = new PathChildrenCache(client, sessionPath, true);
            cache.start();
        } catch (Exception e) {
            e.printStackTrace();
            logger.error(e.toString());
        }

        PathChildrenCacheListener cacheListener = new PathChildrenCacheListener() {
            @Override
            public void childEvent(CuratorFramework client, PathChildrenCacheEvent event) throws Exception {
                logger.info("事件型別:" + event.getType());
                if( event.getData()!=null){
                    logger.info("節點資料:" + event.getData().getPath() + " = " + new String(event.getData().getData()));
                }
                if (event.getType().equals(PathChildrenCacheEvent.Type.CHILD_REMOVED)) {
                    HttpSession httpSession = SessionContext.getInstance().getSession(new String(event.getData().getData()));
                    if (httpSession == null) {
                        return;
                    }
                    httpSession.invalidate();
                }

            }
        };
        cache.getListenable().addListener(cacheListener);
    }

    @Override
    public void deleteZookeeperSessionRegister(String sessionId) {
        try {
            SessionContext.getInstance().delSession(sessionId);

            String empId = null;

            Stat stat = client.checkExists().forPath(sessionReaPath + "/" + sessionId);
            if (stat != null) {
                empId = new String(client.getData().forPath(sessionReaPath + "/" + sessionId));
                client.delete().forPath(sessionReaPath + "/" + sessionId);
                logger.info("delete session:" + sessionReaPath + "/" + sessionId);
            }

         /*   stat = client.checkExists().forPath(sessionPath + "/" + empId);
            if (StringUtils.isNotEmpty(empId) && stat != null) {
                client.delete().forPath(sessionPath + "/" + empId);
                logger.info("delete session:" + sessionPath + "/" + empId);
            }*/
        } catch (Exception e) {
            e.printStackTrace();
            logger.error(e.toString());
        }

    }

    @Override
    public void registerZookeeperSession(Integer empId, HttpSession httpSession) {
        try {
            SessionContext.getInstance().addSession(httpSession);
            Stat stat = client.checkExists().forPath(sessionPath + "/" + empId);
            List<CuratorOp> operations = new ArrayList<CuratorOp>();
            if (stat != null) {
                CuratorOp deleteOpt  = client.transactionOp().delete().forPath(sessionPath + "/" + empId);
                operations.add(deleteOpt);
            }
            CuratorOp createSessionPathOpt = client.transactionOp().create().withMode(CreateMode.EPHEMERAL).forPath(sessionPath + "/" + empId, httpSession.getId().getBytes());
            CuratorOp createSessionReaPathOpt = client.transactionOp().create().withMode(CreateMode.EPHEMERAL).forPath(sessionReaPath + "/" + httpSession.getId(), String.valueOf(empId).getBytes());
            operations.add(createSessionPathOpt);
            operations.add(createSessionReaPathOpt);
            Collection<CuratorTransactionResult> results = client.transaction().forOperations(operations);

            for (CuratorTransactionResult result : results) {
                logger.info(result.getForPath() + " - " + result.getType());
            }
        } catch (Exception e) {
            e.printStackTrace();
            logger.error(e.toString());
        }

    }
}

session監聽

/**
 * session監聽
 * 
 *
 */
public class SessionListener  implements HttpSessionListener,  HttpSessionAttributeListener{
    private SessionContext context = SessionContext.getInstance();
    Logger log = LoggerFactory.getLogger(SessionListener.class);
    @Override
    public void attributeAdded(HttpSessionBindingEvent arg0) {

    }

    @Override
    public void attributeRemoved(HttpSessionBindingEvent arg0) {

    }

    @Override
    public void attributeReplaced(HttpSessionBindingEvent arg0) {

    }

    @Override
    public void sessionCreated(HttpSessionEvent arg0) {
        if(log.isDebugEnabled()) {
            log.debug("建立session");
        }
    }

    @Override
    public void sessionDestroyed(HttpSessionEvent arg0) {
        context.delSession(arg0.getSession());
        ApplicationContext ctx = WebApplicationContextUtils.getRequiredWebApplicationContext(arg0.getSession().getServletContext());

        ClusterSessionsCtrlService clusterSessionsCtrlService = ctx.getBean(ClusterSessionsCtrlService.class);
        clusterSessionsCtrlService.deleteZookeeperSessionRegister(arg0.getSession().getId());
    }

}

使用者登陸成功需要註冊session監聽

    clusterSessionsCtrlService.registerZookeeperSession(empId,request.getSession());

相關推薦

spring security實現session共享叢集環境 防止使用者登入實現思路

背景 專案採用阿里雲負載均衡,基於cookie的會話保持。 沒有實現叢集間的session共享。 專案採用spring security 並且配置了session策略如下: <bean class="or

spring-session管理叢集環境session共享

session共享 說到叢集,很多人知道其的意義。叢集就是多個分佈伺服器節點,然代理伺服器根據權重自動選擇適合的節點分配任務。這樣就可以開發出高效能的應用。不知道怎麼配置的請看我這些文章:(nginx+tomcat: https://blog.csdn.net/lwg_15406523

tomcat叢集環境實現負載均衡、session共享

一、 高可用      高可用HA(High Availability)是分散式系統穩定執行必須考慮的因素之一,它指的是通過處理減少系統不能提供服務的時間。比如說系統能夠一直正常提供服務,我們就說這個系統可用性為100%。      我們知道,單點系統是高可用的公敵,線上系統應該儘量避免

Nginx+Tomcat搭建叢集Spring Session+Redis實現Session共享

小夥伴們好久不見!最近略忙,部落格寫的有點少,嗯,要加把勁。OK,今天給大家帶來一個JavaWeb中常用的架構搭建,即Nginx+Tomcat搭建服務叢集,然後通過Spring Session+Redis實現Session共享。 閱讀本文需要有如下知識點:

Spring-Session實現Session共享Redis叢集方式配置教程

循序漸進,由易到難,這樣才更有樂趣! 概述 本篇開始繼續上一篇的內容基礎上進行,本篇主要介紹Spring-Session實現配置使用Redis叢集,會有兩種配置方式,一種是Redis-Cluster,一種是Redis-Sentinel,並通過一個

spring Session + Redis叢集 + 哨兵部署實現Session共享

1.共享Session問題 HttpSession是通過Servlet容器建立和管理的,像Tomcat/Jetty都是儲存在記憶體中的。而如果我們把web伺服器搭建成分散式的叢集,然後利用LVS或Nginx做負載均衡,那麼來自同一使用者的Http請求將有可能被分發到兩個不同

Windows+Nginx+Tomcat搭建負載均衡和叢集環境同時實現session共享(一)

摘要:隨著網站的訪問量越來越多,所以就考慮給網站增加伺服器了,現在比較流行的做法就是給網站做叢集環境,下面我把我做的過程記錄一下,方便日後檢視,同時也希望可以幫助到有需要的朋友! 一:首先是環境: 1.jdk 1.6.0_45 2.tomcat 6.0.44 3.nginx

Spring Session Data Redis實現session共享

web.xml odi 數據庫 tails spool ima 配置步驟 配置文件 work 1.前言   在開發中遇到一個關於用戶體驗的問題,每次當運維進行更新重啟服務器時,都會導致會員平臺中已登錄的用戶掉線。這是因為每個用戶的會話信息及狀態都是由session來保存的,

springboot2整合spring-session-data-redis,實現session共享

1.新增Maven依賴 <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-pool2</artifactId>

Spring-Session+Redis實現session共享

1、新增依賴 <dependency> <groupId>org.springframework.data</groupId> <artifactId>spring-data-redis</artifactId>

使用redis實現session共享(基於Spring Boot)

Session 共享 什麼是 Session 由於 HTTP 協議是無狀態的協議,所以服務端需要記錄使用者的狀態時,就需要用某種機制來識具體的使用者。Session 是另一種記錄客戶狀態的機制,不同的是 Cookie 儲存在客戶端瀏覽器中,而 Session 儲存在伺服器上。客戶端瀏覽器訪問

使用Spring-Session Redis實現Session共享

知其然,還要知其所以然 ! 本篇介紹Spring-Session的整個實現的原理。以及對核心的原始碼進行簡單的介紹! 實現原理介紹 實現原理這裡簡單說明描述: 就是當Web伺服器接收到http請求後,當請求進入對應的Filter進行過濾,將原本需要由web伺服器

Redis叢集+tomcat7叢集實現session共享

就在昨天,一個線上的產品突然不能訪問了,經過一系列的排查問題,最終發現原來是redis死掉了,因為做的用redis管理session,redis又是單臺伺服器,當redis宕機後,網站就訪問不上了。為了避免以後redis宕機導致網站上不去,同時也為了網站的穩健性,我決定把re

spring-session-data-redis 實現session共享

1.新增依賴 <dependency>             <groupId>redis.clients</groupId>             <

Spring-session+mongodb實現session共享

pom.xml配置 首先需要引入依賴包,直接在pom.xml中新增以下程式碼即可。 <!-- spring-session整合mongodb --> <dependency> <groupId>org.spri

Spring-Session實現Session共享實現原理以及原始碼解析

知其然,還要知其所以然 ! 本篇介紹Spring-Session的整個實現的原理。以及對核心的原始碼進行簡單的介紹! 實現原理介紹 實現原理這裡簡單說明描述: 就是當Web伺服器接收到http請求後,當請求進入對應的Filter進行過濾,

shiro 在叢集環境用redis(叢集版)做session共享

如今叢集環境已是伺服器主流,在叢集環境中,session共享一般通過應用伺服器的session複製或者儲存在公用的快取伺服器上,本文主要介紹通過Shiro管理session,並將session快取到redis叢集版中,這樣可以在叢集中使用。 Shiro除了在管理sess

Spring Session + Redis 實現session共享

這裡主要介紹一下基於xml的配置:1. 在pom.xml檔案中引入所需依賴<!-- spring-session begin--> <dependency>

Spring MVC 使用 Spring Session 實現 Session 共享-Redis

使用Spring Session 通過 Redis 實現 Session 共享,用於多例項應用 Session 共享的簡單原理 使用者第一次訪問應用時,應用會建立一個新的 Session,並且會將 Session 的 ID 作為 C

Spring boot + shiro + redis 實現session共享(偽單點登入

    為實現Web應用的分散式叢集部署,要解決登入session的統一。本文利用shiro做許可權控制,redis做session儲存,結合spring boot快速配置實現session共享。注意本文未解決跨域的問題。不過對於一般的情況能夠很好的起到作用,具體已經在不同埠