shiro 實現單使用者登入,一個使用者同一時刻只能在一個地方登入
阿新 • • 發佈:2019-01-05
如果我們跟shiro的原始碼,我們可以看到。當用戶登入成功後,shiro會把使用者名稱放到session的attribute中,key為DefaultSubjectContext_PRINCIPALS_SESSION_KEY,這個key的定義是在shiro的org.apache.shiro.subject.support.DefaultSubjectContext中,這個類有三個public的靜態屬性,其他都為private。其中PRINCIPALS_SESSION_KEY這個屬性記錄的是使用者名稱,而AUTHENTICATED_SESSION_KEY屬性記錄的是使用者認證,當用戶登入成功後,這個attribute的值是true。
不過既然我們可以通過使用者名稱可以找到使用者對應的session,也很容易將該session刪除,讓使用者重新建立一個新的sesison。這裡給出一個幫助類,帶有跳出使用者的功能。
shiro.ini
[main] # Objects and their properties are defined here, # Such as the securityManager, Realms and anything # else needed to build the SecurityManager authc.loginUrl = /login.jsp authc.successUrl = /web/index.jsp #cache manager builtInCacheManager = org.apache.shiro.cache.MemoryConstrainedCacheManager securityManager=org.apache.shiro.web.mgt.DefaultWebSecurityManager securityManager.cacheManager = $builtInCacheManager securityManager.sessionManager=$sessionManager #session 必須配置session,強制退出時,通過將session移除實現 sessionManager=org.apache.shiro.web.session.mgt.DefaultWebSessionManager sessionManager.sessionDAO=$sessionDAO sessionDAO=org.apache.shiro.session.mgt.eis.MemorySessionDAO # Create ldap realm ldapRealm = org.apache.shiro.realm.ldap.JndiLdapRealm #...... # Configure JDBC realm datasource dataSource = org.postgresql.ds.PGPoolingDataSource #....... # Create JDBC realm. jdbcRealm.permissionsLookupEnabled = true jdbcRealm = org.apache.shiro.realm.jdbc.JdbcRealm jdbcRealm.userRolesQuery = ...... jdbcRealm.permissionsQuery = ...... jdbcRealm.dataSource = $dataSource #self realm localAuthorizingRealm = com.redbudtek.shiro.LocalAuthorizingRealm securityManager.realms = $ldapRealm, $localAuthorizingRealm
在 LocalAuthorizingRealm 中,使用者登入進行認證之前,先將該使用者的其他session移除:
@Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { String userName = (String)authenticationToken.getPrincipal(); //處理session DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager(); DefaultWebSessionManager sessionManager = (DefaultWebSessionManager)securityManager.getSessionManager(); Collection<Session> sessions = sessionManager.getSessionDAO().getActiveSessions();//獲取當前已登入的使用者session列表 for(Session session:sessions){ //清除該使用者以前登入時儲存的session if(userName.equals(String.valueOf(session.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY)))) { sessionManager.getSessionDAO().delete(session); } } String pwd = null; return new SimpleAuthenticationInfo(userName,pwd,getName()); }
