javascript
仅对此用户禁用 java_Spring Security实现禁止用户重复登陆的配置原理
這篇文章主要介紹了Spring Security實現禁止用戶重復登陸的配置原理,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下
系統使用了Spring Security做權限管理,現在對于系統的用戶,需要改動配置,實現無法多地登陸。
一、SpringMVC項目,配置如下:
首先在修改Security相關的XML,我這里是spring-security.xml,修改UsernamePasswordAuthenticationFilter相關Bean的構造配置
加入
新增sas的Bean及其相關配置
class="org.springframework.security.core.session.SessionRegistryImpl" />
加入ConcurrentSessionFilter相關Bean配置
class="org.springframework.security.web.session.ConcurrentSessionFilter">
class="org.springframework.security.web.session.SimpleRedirectSessionInformationExpiredStrategy">
二、SpringBoot項目
略
三、Bean配置說明
SessionAuthenticationStrategy:該接口中存在onAuthentication方法用于對新登錄用戶進行session相關的校驗。
查看UsernamePasswordAuthenticationFilter及其父類代碼,可以發現在doFilter中存在sessionStrategy.onAuthentication(authResult, request, response);方法
但UsernamePasswordAuthenticationFilter中的sessionStrategy對象默認為NullAuthenticatedSessionStrategy,即不對session進行相關驗證。
如本文配置,建立id為sas的CompositeSessionAuthenticationStrategy的Bean對象。
CompositeSessionAuthenticationStrategy可以理解為一個托管類,托管所有實現SessionAuthenticationStrategy接口的對象,用來批量托管執行onAuthentication函數
這里CompositeSessionAuthenticationStrategy中注入了三個對象,關注ConcurrentSessionControlAuthenticationStrategy,它實現了對于session并發的控制
UsernamePasswordAuthenticationFilter的Bean中注入新配置的sas,用于替換原本的NullAuthenticatedSessionStrategy
ConcurrentSessionFilter的Bean用來驗證session是否失效,并通過SimpleRedirectSessionInformationExpiredStrategy將失敗訪問進行跳轉。
四、代碼流程說明(這里模擬用戶現在A處登錄,隨后用戶在B處登錄,之后A處再進行操作時會返回失敗,提示重新登錄)
1、用戶在A處登錄,UsernamePasswordAuthenticationFilter調用sessionStrategy.onAuthentication進行session驗證
2、ConcurrentSessionControlAuthenticationStrategy中的onAuthentication開始進行session驗證,服務器中保存了登錄后的session
/**
* In addition to the steps from the superclass, the sessionRegistry will be updated
* with the new session information.
*/
public void onAuthentication(Authentication authentication,
HttpServletRequest request, HttpServletResponse response) {
//根據所登錄的用戶信息,查詢相對應的現存session列表
final List sessions = sessionRegistry.getAllSessions(
authentication.getPrincipal(), false);
int sessionCount = sessions.size();
//獲取session并發數量,對于XML中的maximumSessions
int allowedSessions = getMaximumSessionsForThisUser(authentication);
//判斷現有session列表數量和并發控制數間的關系
//如果是首次登錄,根據xml配置,這里應該是0<1,程序將會繼續向下執行,
//最終執行到SessionRegistryImpl的registerNewSession進行新session的保存
if (sessionCount < allowedSessions) {
// They haven't got too many login sessions running at present
return;
}
if (allowedSessions == -1) {
// We permit unlimited logins
return;
}
if (sessionCount == allowedSessions) {
//獲取本次http請求的session
HttpSession session = request.getSession(false);
if (session != null) {
// Only permit it though if this request is associated with one of the
// already registered sessions
for (SessionInformation si : sessions) {
//循環已保存的session列表,判斷本次http請求session是否已經保存
if (si.getSessionId().equals(session.getId())) {
//本次http請求是有效請求,返回執行下一個filter
return;
}
}
}
// If the session is null, a new one will be created by the parent class,
// exceeding the allowed number
}
//本次http請求為新請求,進入具體判斷
allowableSessionsExceeded(sessions, allowedSessions, sessionRegistry);
}
/**
* Allows subclasses to customise behaviour when too many sessions are detected.
*
* @param sessions either null or all unexpired sessions associated with
* the principal
* @param allowableSessions the number of concurrent sessions the user is allowed to
* have
* @param registry an instance of the SessionRegistry for subclass use
*
*/
protected void allowableSessionsExceeded(List sessions,
int allowableSessions, SessionRegistry registry)
throws SessionAuthenticationException {
//根據exceptionIfMaximumExceeded判斷是否要將新http請求拒絕
//exceptionIfMaximumExceeded也可以在XML中配置
if (exceptionIfMaximumExceeded || (sessions == null)) {
throw new SessionAuthenticationException(messages.getMessage(
"ConcurrentSessionControlAuthenticationStrategy.exceededAllowed",
new Object[] { Integer.valueOf(allowableSessions) },
"Maximum sessions of {0} for this principal exceeded"));
}
// Determine least recently used session, and mark it for invalidation
SessionInformation leastRecentlyUsed = null;
//若不拒絕新請求,遍歷現存seesion列表
for (SessionInformation session : sessions) {
//獲取上一次/已存的session信息
if ((leastRecentlyUsed == null)
|| session.getLastRequest()
.before(leastRecentlyUsed.getLastRequest())) {
leastRecentlyUsed = session;
}
}
//將上次session信息寫為無效(欺騙)
leastRecentlyUsed.expireNow();
}
3、用戶在B處登錄,再次通過ConcurrentSessionControlAuthenticationStrategy的檢查,將A處登錄的session置于無效狀態,并在session列表中添加本次session
4、用戶在A處嘗試進行其他操作,ConcurrentSessionFilter進行Session相關的驗證,發現A處用戶已經失效,提示重新登錄
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
//獲取本次http請求的session
HttpSession session = request.getSession(false);
if (session != null) {
//從本地session關系表中取出本次http訪問的具體session信息
SessionInformation info = sessionRegistry.getSessionInformation(session
.getId());
//如果存在信息,則繼續執行
if (info != null) {
//判斷session是否已經失效(這一步在本文4.2中被執行)
if (info.isExpired()) {
// Expired - abort processing
if (logger.isDebugEnabled()) {
logger.debug("Requested session ID "
+ request.getRequestedSessionId() + " has expired.");
}
//執行登出操作
doLogout(request, response);
//從XML配置中的redirectSessionInformationExpiredStrategy獲取URL重定向信息,頁面跳轉到登錄頁面
this.sessionInformationExpiredStrategy.onExpiredSessionDetected(new SessionInformationExpiredEvent(info, request, response));
return;
}
else {
// Non-expired - update last request date/time
sessionRegistry.refreshLastRequest(info.getSessionId());
}
}
}
chain.doFilter(request, response);
}
5、A處用戶只能再次登錄,這時B處用戶session將會失效重登,如此循環
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持腳本之家。
總結
以上是生活随笔為你收集整理的仅对此用户禁用 java_Spring Security实现禁止用户重复登陆的配置原理的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: SimpleFOC(八)—— 理论+实践
- 下一篇: Android上传文件至服务器(转)