中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

SpringSecurity中怎么禁止用戶重復登陸

發布時間:2021-08-02 16:03:43 來源:億速云 閱讀:187 作者:Leah 欄目:編程語言

SpringSecurity中怎么禁止用戶重復登陸,針對這個問題,這篇文章詳細介紹了相對應的分析和解答,希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

一、SpringMVC項目,配置如下:

首先在修改Security相關的XML,我這里是spring-security.xml,修改UsernamePasswordAuthenticationFilter相關Bean的構造配置

加入

<property name="sessionAuthenticationStrategy" ref="sas" />

新增sas的Bean及其相關配置

<bean id="sas" class="org.springframework.security.web.authentication.session.CompositeSessionAuthenticationStrategy">    <constructor-arg>      <list>        <bean class="org.springframework.security.web.authentication.session.ConcurrentSessionControlAuthenticationStrategy">          <constructor-arg ref="sessionRegistry"/>          <!-- 這里是配置session數量,此處為1,表示同一個用戶同時只會有一個session在線 -->           <property name="maximumSessions" value="1" />          <property name="exceptionIfMaximumExceeded" value="false" />        </bean>        <bean class="org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy">        </bean>        <bean class="org.springframework.security.web.authentication.session.RegisterSessionAuthenticationStrategy">          <constructor-arg ref="sessionRegistry"/>        </bean>      </list>    </constructor-arg>  </bean>  <bean id="sessionRegistry"        class="org.springframework.security.core.session.SessionRegistryImpl" />

加入ConcurrentSessionFilter相關Bean配置

<bean id="concurrencyFilter"        class="org.springframework.security.web.session.ConcurrentSessionFilter">    <constructor-arg name="sessionRegistry" ref="sessionRegistry" />    <constructor-arg name="sessionInformationExpiredStrategy" ref="redirectSessionInformationExpiredStrategy" />  </bean>  <bean id="redirectSessionInformationExpiredStrategy"        class="org.springframework.security.web.session.SimpleRedirectSessionInformationExpiredStrategy">    <constructor-arg name="invalidSessionUrl" value="/login.html" />  </bean>

二、SpringBoot項目

三、Bean配置說明

SessionAuthenticationStrategy:該接口中存在onAuthentication方法用于對新登錄用戶進行session相關的校驗。  查看UsernamePasswordAuthenticationFilter及其父類代碼,可以發現在doFilter中存在sessionStrategy.onAuthentication(authResult, request, response);方法  但UsernamePasswordAuthenticationFilter中的sessionStrategy對象默認為NullAuthenticatedSessionStrategy,即不對session進行相關驗證。  如本文配置,建立id為sas的CompositeSessionAuthenticationStrategy的Bean對象。  CompositeSessionAuthenticationStrategy可以理解為一個托管類,托管所有實現SessionAuthenticationStrategy接口的對象,用來批量托管執行onAuthentication函數  這里CompositeSessionAuthenticationStrategy中注入了三個對象,關注ConcurrentSessionControlAuthenticationStrategy,它實現了對于session并發的控制  UsernamePasswordAuthenticationFilter的Bean中注入新配置的sas,用于替換原本的NullAuthenticatedSessionStrategy  ConcurrentSessionFilter的Bean用來驗證session是否失效,并通過SimpleRedirectSessionInformationExpiredStrategy將失敗訪問進行跳轉。

四、代碼流程說明(這里模擬用戶現在A處登錄,隨后用戶在B處登錄,之后A處再進行操作時會返回失敗,提示重新登錄)

1、用戶在A處登錄,UsernamePasswordAuthenticationFilter調用sessionStrategy.onAuthentication進行session驗證

2、ConcurrentSessionControlAuthenticationStrategy中的onAuthentication開始進行session驗證,服務器中保存了登錄后的session

/**   * In addition to the steps from the superclass, the sessionRegistry will be updated   * with the new session information.   */  public void onAuthentication(Authentication authentication,      HttpServletRequest request, HttpServletResponse response) {    //根據所登錄的用戶信息,查詢相對應的現存session列表    final List<SessionInformation> sessions = sessionRegistry.getAllSessions(        authentication.getPrincipal(), false);    int sessionCount = sessions.size();    //獲取session并發數量,對于XML中的maximumSessions    int allowedSessions = getMaximumSessionsForThisUser(authentication);    //判斷現有session列表數量和并發控制數間的關系    //如果是首次登錄,根據xml配置,這里應該是0<1,程序將會繼續向下執行,    //最終執行到SessionRegistryImpl的registerNewSession進行新session的保存    if (sessionCount < allowedSessions) {      // They haven't got too many login sessions running at present      return;    }    if (allowedSessions == -1) {      // We permit unlimited logins      return;    }    if (sessionCount == allowedSessions) {      //獲取本次http請求的session      HttpSession session = request.getSession(false);      if (session != null) {        // Only permit it though if this request is associated with one of the        // already registered sessions        for (SessionInformation si : sessions) {          //循環已保存的session列表,判斷本次http請求session是否已經保存          if (si.getSessionId().equals(session.getId())) {            //本次http請求是有效請求,返回執行下一個filter            return;          }        }      }      // If the session is null, a new one will be created by the parent class,      // exceeding the allowed number    }    //本次http請求為新請求,進入具體判斷    allowableSessionsExceeded(sessions, allowedSessions, sessionRegistry);  }

/**   * Allows subclasses to customise behaviour when too many sessions are detected.   *   * @param sessions either <code>null</code> or all unexpired sessions associated with   * the principal   * @param allowableSessions the number of concurrent sessions the user is allowed to   * have   * @param registry an instance of the <code>SessionRegistry</code> for subclass use   *   */  protected void allowableSessionsExceeded(List<SessionInformation> sessions,      int allowableSessions, SessionRegistry registry)      throws SessionAuthenticationException {    //根據exceptionIfMaximumExceeded判斷是否要將新http請求拒絕    //exceptionIfMaximumExceeded也可以在XML中配置    if (exceptionIfMaximumExceeded || (sessions == null)) {      throw new SessionAuthenticationException(messages.getMessage(          "ConcurrentSessionControlAuthenticationStrategy.exceededAllowed",          new Object[] { Integer.valueOf(allowableSessions) },          "Maximum sessions of {0} for this principal exceeded"));    }    // Determine least recently used session, and mark it for invalidation    SessionInformation leastRecentlyUsed = null;    //若不拒絕新請求,遍歷現存seesion列表    for (SessionInformation session : sessions) {      //獲取上一次/已存的session信息      if ((leastRecentlyUsed == null)          || session.getLastRequest()              .before(leastRecentlyUsed.getLastRequest())) {        leastRecentlyUsed = session;      }    }    //將上次session信息寫為無效(欺騙)    leastRecentlyUsed.expireNow();  }

3、用戶在B處登錄,再次通過ConcurrentSessionControlAuthenticationStrategy的檢查,將A處登錄的session置于無效狀態,并在session列表中添加本次session

4、用戶在A處嘗試進行其他操作,ConcurrentSessionFilter進行Session相關的驗證,發現A處用戶已經失效,提示重新登錄

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)      throws IOException, ServletException {    HttpServletRequest request = (HttpServletRequest) req;    HttpServletResponse response = (HttpServletResponse) res;  //獲取本次http請求的session    HttpSession session = request.getSession(false);      if (session != null) {      //從本地session關系表中取出本次http訪問的具體session信息      SessionInformation info = sessionRegistry.getSessionInformation(session          .getId());      //如果存在信息,則繼續執行      if (info != null) {        //判斷session是否已經失效(這一步在本文4.2中被執行)        if (info.isExpired()) {          // Expired - abort processing          if (logger.isDebugEnabled()) {            logger.debug("Requested session ID "                + request.getRequestedSessionId() + " has expired.");          }          //執行登出操作          doLogout(request, response);          //從XML配置中的redirectSessionInformationExpiredStrategy獲取URL重定向信息,頁面跳轉到登錄頁面          this.sessionInformationExpiredStrategy.onExpiredSessionDetected(new SessionInformationExpiredEvent(info, request, response));          return;        }        else {          // Non-expired - update last request date/time          sessionRegistry.refreshLastRequest(info.getSessionId());        }      }    }    chain.doFilter(request, response);  }

5、A處用戶只能再次登錄,這時B處用戶session將會失效重登,如此循環

關于SpringSecurity中怎么禁止用戶重復登陸問題的解答就分享到這里了,希望以上內容可以對大家有一定的幫助,如果你還有很多疑惑沒有解開,可以關注億速云行業資訊頻道了解更多相關知識。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

城步| 保康县| 营口市| 勐海县| 乌拉特前旗| 长顺县| 射洪县| 虞城县| 高州市| 云霄县| 汤阴县| 德惠市| 清水河县| 康乐县| 双峰县| 上饶县| 志丹县| 万全县| 余江县| 德庆县| 高密市| 福海县| 时尚| 大城县| 车险| 乃东县| 四会市| 汶川县| 邻水| 盐亭县| 莱州市| 阿拉善盟| 介休市| 得荣县| 淄博市| 红桥区| 资阳市| 邳州市| 伊宁县| 德化县| 巴南区|