2. 程式人生 > >spring security(八) session 併發,剔除前一個使用者

spring security(八) session 併發,剔除前一個使用者

阿新 發佈:2019-01-10

解決 session 併發問題 ,同時只有一個使用者線上。 有一個使用者線上後其他的裝置登入此使用者將剔除前一個使用者。強制前一個使用者下線。

1.修改security配置

新增 SessionRegistry,自己管理SessionRegistry。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
 

     private  CustomUserService customUserService;
    @Autowired
    SessionRegistry sessionRegistry;

    @Autowired
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customUserService).passwordEncoder(new BCryptPasswordEncoder());
    }

    @Override
 

    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .authorizeRequests()
                .antMatchers("/users/**")
                .authenticated()
                .antMatchers(HttpMethod.POST)
                .authenticated()
                .antMatchers(HttpMethod.PUT)
                .authenticated()
                .antMatchers(HttpMethod.DELETE)
                .authenticated()
                .antMatchers("/**"
 
)
                .permitAll()
                .and()
                .sessionManagement().maximumSessions(1).sessionRegistry(sessionRegistry);
        http.httpBasic();
    }

    @Bean
    public SessionRegistry getSessionRegistry(){
        SessionRegistry sessionRegistry=new SessionRegistryImpl();
        return sessionRegistry;
    }

2.LoginController

修改登入,登入成功後清除前一個線上使用者(dropPreviousUser 清除前一個使用者)

@RequestMapping(value = "/login")
    @ResponseBody
    //使用者名稱密碼是用base64 加密 原文為 admin:admin 即 使用者名稱:密碼  內容是放在request.getHeader 的 "authorization" 中
    public Object login(@AuthenticationPrincipal SysUser loginedUser, @RequestParam(name = "logout", required = false) String logout,HttpServletRequest request) {
        if (logout != null) {
            return "logout";
        }
        if (loginedUser != null) {
            SessionUtil.dropPreviousUser(request,sessionRegistry,loginedUser);
            return loginedUser;
        }
        return null;
    }

3.SessionUtil

session 管理工具類


/**
 * Created by yangyibo on 8/23/17.
 */
public class SessionUtil {

    /**
     * 辨別使用者是否已經登入
     *
     * @param request
     * @param sessionRegistry
     * @param loginedUser
     */
    public static void deleteSameUser(HttpServletRequest request, SessionRegistry sessionRegistry, User loginedUser) {
        SecurityContext sc = (SecurityContext) request.getSession().getAttribute("SPRING_SECURITY_CONTEXT");
        List<SessionInformation> sessionsInfo;
        sessionsInfo = sessionRegistry.getAllSessions(sc.getAuthentication().getPrincipal(), true);
        String currentSessionId;
        if (null != sessionsInfo && sessionsInfo.size() == 0) {
            sessionRegistry.registerNewSession(request.getSession().getId(), sc.getAuthentication().getPrincipal());
            sessionsInfo = sessionRegistry.getAllSessions(sc.getAuthentication().getPrincipal(), false);
        }
        currentSessionId = sessionsInfo.get(0).getSessionId();
        List<Object> o = sessionRegistry.getAllPrincipals();
        for (Object principal : o) {
            if (principal instanceof User && (loginedUser.getUsername().equals(((User) principal).getUsername()))) {
                List<SessionInformation> oldSessionsInfo = sessionRegistry.getAllSessions(principal, false);
                if (null != oldSessionsInfo && oldSessionsInfo.size() > 0 && !oldSessionsInfo.get(0).getSessionId().equals(currentSessionId)) {
                    for (SessionInformation sessionInformation : sessionsInfo) {
                        //當前session失效
                        sessionInformation.expireNow();
                        sc.setAuthentication(null);
                        sessionRegistry.removeSessionInformation(currentSessionId);
                        throw new GeneralServerExistException(ErrorMessage.ALONG_LOGIN_ERROTR.toString());
                    }
                }
            }
        }
    }

    /**
     * 剔除前一個使用者
     *
     * @param request
     * @param sessionRegistry
     * @param loginedUser
     */
    public static void dropPreviousUser(HttpServletRequest request, SessionRegistry sessionRegistry, User loginedUser, SysMessageService sysMessageService) {
        SecurityContext sc = (SecurityContext) request.getSession().getAttribute("SPRING_SECURITY_CONTEXT");
        List<SessionInformation> sessionsInfo;
        sessionsInfo = sessionRegistry.getAllSessions(sc.getAuthentication().getPrincipal(), false);
        if (sessionsInfo.size() > 0) {
            String  currentSessionId = sessionsInfo.get(0).getSessionId();
            List<Object> o = sessionRegistry.getAllPrincipals();
            for (Object principal : o) {
                if (principal instanceof User && (loginedUser.getUsername().equals(((User) principal).getUsername()))) {
                    List<SessionInformation> oldSessionsInfo = sessionRegistry.getAllSessions(principal, false);
                    if (null != oldSessionsInfo && oldSessionsInfo.size() > 0 && !oldSessionsInfo.get(0).getSessionId().equals(currentSessionId)) {
                        for (SessionInformation sessionInformation : oldSessionsInfo) {
                            //當前session失效
                            //send message
                            sysMessageService.sendMessage(((User) principal).getUsername(), new SysMessage(null, Consts.NOTIFICATION_TYPE_HADLOGIN_CONTENT, 5, Consts.NOTIFICATION_ACCEPT_TYPE_HADLOGIN));
                            sessionInformation.expireNow();
                        }
                    }
                }
            }
        }else {
            throw new  GeneralServerExistException(ErrorMessage.ALONG_LOGIN_ERROTR.toString());
        }
    }


    /**
     * session 失效
     *
     * @param request
     * @param sessionRegistry
     */
    public static void expireSession(HttpServletRequest request, User user, SessionRegistry sessionRegistry) {
        List<SessionInformation> sessionsInfo = null;
        if (null != user) {
            List<Object> o = sessionRegistry.getAllPrincipals();
            for (Object principal : o) {
                if (principal instanceof User && (user.getUsername().equals(((User) principal).getUsername()))) {
                    sessionsInfo = sessionRegistry.getAllSessions(principal, false);
                }
            }
        } else if (null != request) {
            SecurityContext sc = (SecurityContext) request.getSession().getAttribute("SPRING_SECURITY_CONTEXT");
            if (null != sc.getAuthentication().getPrincipal()) {
                sessionsInfo = sessionRegistry.getAllSessions(sc.getAuthentication().getPrincipal(), false);
                sc.setAuthentication(null);
            }
        }
        if (null != sessionsInfo && sessionsInfo.size() > 0) {
            for (SessionInformation sessionInformation : sessionsInfo) {
                //當前session失效
                sessionInformation.expireNow();
                sessionRegistry.removeSessionInformation(sessionInformation.getSessionId());
            }
        }
    }
}

4.session 失效

制定定時任務,定時使session 失效。失效機制,定時掃描線上使用者,判斷線上使用者的最後一次操作時間AccessLastTime 於當前的時間差是否超過 session失效時間 ,如果超過session 失效時間,將session 置為失效。

此處的session失效和 springboot 配置檔案裡配置的session 失效時間應當一致。(springboot 配置檔案裡配置的session 失效實際上並不能將我門自己管理的SessionRegistry 中的session失效。)

/**
     * 超時事件檢查
     */
    @Scheduled(cron = "0 0/1 * * * ?")
    public void ScanUserOnline() {
    //獲取所有線上使用者
        List<User> users = userDao.getUsersWithOnLine(4);
        users.stream().parallel().forEach(user -> {
        //通過時間判斷是否session過期
            if (CommonUtil.CalculationData(user.getAccessLastTime(),30)) {
                //如果過期則設定使用者為下下線狀態
                updateOnline(user.getId(),4,null);
            //session 置為失效  SessionUtil.expireSession(null,user,sessionRegistry);
            }
        });
    }

相關推薦

spring security() session 併發剔除一個使用者

解決 session 併發問題 ,同時只有一個使用者線上。 有一個使用者線上後其他的裝置登入此使用者將剔除前一個使用者。強制前一個使用者下線。 1.修改security配置 新增 SessionRegistry,自己管理SessionRegistry

springSecurity的學習筆記--使用spring-Security完成“記住我”單機session管理叢集session管理登出

   今天課外的大部分空餘時間都用來了整理springSecurity練習的筆記。 整理了一部分,還差一些這裡補上! 記住我功能要素:       springsecurity提供了一個記住我的功能。  它的大致原理是,攔截器檢測是

spring security下開啟csrf同時支援session.invalidate()呼叫

最近在做的一個java web專案,要求登入介面資訊提交時使用https,登入成功後頁面使用http,同時全站使用csrf防禦。 然後https和http的訪問會分別建立兩個session,csrf的token存在於https建立的session中,當驗證使用者身份通過後,

[Java][Spring][scurity]同步session控制防止一個用戶多次登錄

http art 程序 ava list ati cee ren except [Spring][scurity]同步session控制。防止一個用戶多次登錄 假設你希望限制單個用戶僅僅能登錄到你的程序一次,Spring Security通過加入以下簡單的部分支持這

Spring Security 梳理 - session

Spring Security預設的行為是每個登入成功的使用者會新建一個Session。這也就是下面的配置的效果: <http create-session="ifRequired">...</http> 這貌似沒有問題,但其實對大規模的網站是致命的。使用者越多,新建的s

Spring Security的高階認識在上一篇我們已經初步的瞭解到了Spring Secuity

2 自定義登入成功處理 預設情況下,登入成功後,Spring Security 會跳轉到之前引發登入的那個請求上。 AuthenticationSuccessHandler @Component("myAuthenticationSuccessHandler") public class

Spring security 整合ldap服務實現統一驗證

<span style="font-size:18px;">先說一下Spring security 是基於spring的一個強大的安全驗證模組,它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反轉Invers

Spring Security-授權(AccessDecisionManagerAccessDecisionVoter) .

AccessDecisionManager完成授權的功能。觀察AccessDecisionManager介面的授權方法 void decide(Authentication authentication, Object object, ConfigAttributeDefi

Spring SecuritySession中的值和修改userDetails(轉)

1.在session中取得spring security的登入使用者名稱如下${session.SPRING_SECURITY_CONTEXT.authentication.principal.username}spring security 把SPRING_SECURITY

【手摸手帶你搭建前後端分離商城系統】03 整合Spring Security token 實現方案完成主業務登入

## 【手摸手,帶你搭建前後端分離商城系統】03 整合Spring Security token 實現方案,完成主業務登入 上節裡面,我們已經將基本的前端 `VUE + Element UI` 整合到了一起。並且通過 `axios` 傳送請求到後端API。 解決跨域問題後、成功從後端獲取到資料。 本小結

當前頁面返回一個頁面時執行一個頁面的方法

for console tail article blog http rep ESS ole var pages = getCurrentPages(); // 當前頁面 var beforePage = pages[pages.length - 2]; // 前一個頁面

Python 獲取當前時間的一個一個星期的時間列表

1.獲取前一個星期的時間列表 def dateRange(beginDate): """ 設計時間格式,也就是取出今天前七天的時間列表 :param beginDate: :return: """ yes_time = beginDate + da

微信小程式如何在返回一個頁面時執行一個頁面的方法

var pages = getCurrentPages(); // 當前頁面 var beforePage = pages[pages.length - 2]; // 前一個頁面 // console.log("beforePage"); // console.log

關於spring security session失效ajax報錯的解決

      今天發現spring security 儲存的使用者名稱,把一些特殊符號轉義,今天發現通過 reques的方式取到發現下劃線轉移了,這個問題也是無意間看到了。     關於session失效後,spring security  ajax請求受限的資源會出現,例如

別再讓你的微服務裸奔了基於 Spring Session & Spring Security 微服務許可權控制

微服務架構 閘道器:路由使用者請求到指定服務,轉發前端 Cookie 中包含的 Session 資訊; 使用者服務:使用者登入認證(Authentication),使用者授權(Authority),使用者管理(Redis Session Management) 其他服務:依賴 Redis 中使用者資

實戰開發使用 Spring SessionSpring security 完成網站登入改造!!

上次小黑在文章中介紹了[四種分散式一致性 Session 的實現方式](https://mp.weixin.qq.com/s/8HgFYgrJDC3bi5MY0icJfg),在這四種中最常用的就是後端集中儲存方案,這樣即使 web 應用重啟或者擴容,Session 都沒有丟失的風險。 ![](https:/

spring security使用自定義登錄界面後不能返回到之前的請求界面的問題

auth authent pri 源碼 ring 是把 根據 可能 oca 昨天因為集成spring security oauth2,所以對之前spring security的配置進行了一些修改,然後就導致登錄後不能正確跳轉回被攔截的頁面,而是返回到localhost根目錄

解決spring-security session超時 Ajax 請求沒有重定向的問題

這樣的 解決 alert ips 點擊 res set 登錄頁面 response 開始時, 代碼是這樣的: $.ajax({ type : "POST", url : sSource,

idea+maven + spring security +springmvc入門 (自定義登入頁面)附idea如何建立web專案

第一次使用idea,上午在eclipse中 學習了spring security 入門,下午試試在idea中搭建。 剛開始 我以為 直接將eclipse的 檔案 copy過來就行了,結果發現copy過來以後 各種報錯。 後來把m

springSecurity的學習筆記--使用spring-Security完成表單登陸手機驗證碼登陸第三方登陸

    環境搭建好後,之後的練習進入了一個十分痛苦的階段!! 但是與此同時,收穫也是比較可觀的。 老師通過詳細的視訊講解,完成了表單登陸,包括賬號密碼和驗證碼登陸,手機驗證碼登陸,第三方登陸。 每一個部分都進行了開發步驟說明,思路引領,以及程式碼重構!!!