springsecurity的用户登录（SpringSecurity-11-只允许一个用户登录）

本次给你介绍只允许用户在一个地方登录，也就是说每个用户只允许有一个Session。他有两种场景

• 如果同一个用户在第二个地方登录，则将第一个登录下线
• 如果同一个用户在第二个地方登录，则不允许二次的登录

具体步骤如下：

1. 重构com.security.learn.config.LearnSrpingSecurity的configure(HttpSecurity http)方法

@Autowired privateSessionInformationExpiredStrategysessionInformationExpiredStrategy; .and() .sessionManagement() .invalidSessionStrategy(invalidSessionStrategy) .maximumSessions(1)////每个用户在系统中的最大session数 //.maxSessionsPreventsLogin(true) .expiredSessionStrategy(sessionInformationExpiredStrategy)//当用户达到最大session数后，则调用此处的实现

• 自定义sessionInformationExpiredStrategy实现类来定制策略

importcom.fasterxml.jackson.databind.ObjectMapper; importcom.security.learn.handler.MyAuthenticationFailureHandler; importorg.springframework.beans.factory.annotation.Autowired; importorg.springframework.security.authentication.AuthenticationServiceexception; importorg.springframework.security.core.AuthenticationException; importorg.springframework.security.core.userdetails.UserDetails; importorg.springframework.security.web.session.SessionInformationExpiredEvent; importorg.springframework.security.web.session.SessionInformationExpiredStrategy; importjavax.servlet.ServletException; importjava.io.IOException; publicclassMySessionInformationExpiredStrategyimplementsSessionInformationExpiredStrategy{ //JacksonJSON数据处理类 privatestaticObjectMapperobjectMapper=newObjectMapper(); @Autowired MyAuthenticationFailureHandlermyAuthenticationFailureHandler; @Override publicvoidonExpiredSessionDetected(SessionInformationExpiredEventevent)throwsIOException,ServletException{ //1.获取用户名 UserDetailsuserDetails= (UserDetails)event.getSessionInformation().getPrincipal(); AuthenticationExceptionexception= newAuthenticationServiceException( String.format("[%s]用户在另外一台电脑登录,您已被下线",userDetails.getUsername())); try{ //当用户在另外一台电脑登录后,交给失败处理器回到认证页面 event.getrequest().setAttribute("toAuthentication",true); myAuthenticationFailureHandler .onAuthenticationFailure(event.getRequest(),event.getResponse(),exception); }catch(ServletExceptione){ e.printStackTrace(); } } }

• 在com.security.learn.config.Myconfig类中注入SessionInformationExpiredStrategy

@Bean @ConditionalOnMissingBean(SessionInformationExpiredStrategy.class) publicSessionInformationExpiredStrategyinformationExpiredStrategy(){ returnnewMySessionInformationExpiredStrategy(); }

1. 谷歌浏览器用户名密码登录
2. 再使用火狐浏览器用户名密码登录
3. 回到谷歌浏览器刷新请求，发现回到登录页面，提示被下线

如果同一用户在第2个地方登录时，则不允许他二次登录。

实现步骤:

1. 在 LearnSrpingSecurity添加 maxSessionsPreventsLogin(true) 后不允许二次登录,其实就是添加一个 .maxSessionsPreventsLogin(true)。

.and() .sessionManagement() .invalidSessionStrategy(invalidSessionStrategy) .maximumSessions(1)////每个用户在系统中的最大session数 .maxSessionsPreventsLogin(true) .expiredSessionStrategy(sessionInformationExpiredStrategy)//当用户达到最大session数后，则调用此处的实现 ;

1. 谷歌浏览器用户名密码登录
2. 再使用火狐浏览器用户名密码登录，发现不允许登录

使用了 admin 用户名登录后，还可以使用这个用户的手机号登录。正常应该是同一个用户，系统中只能用用户名或手机号登录一次。

解决问题：

原因是 SmsCodeAuthenticationFilter继承的类 AbstractAuthenticationProcessingFilter 中，默认使用了 NullAuthenticatedSessionStrategy 实例管理 Session，我们应该指定用户名密码过滤器中所使用的那个 SessionAuthenticationStrategy 实现类 CompositeSessionAuthenticationStrategy 。在com.security.learn.config.SmsCodeSecurityConfig指定即可解决：

@Component publicclassSmsCodeSecurityConfigextendsSecurityConfigurerAdapter<DefaultSecurityFilterChain,HttpSecurity>{ @Autowired @Qualifier("smsCodeUserDetailsService") privateSmsCodeUserDetailsServicesmsCodeUserDetailsService; @Resource privateSmsCodeValidateFiltersmsCodeValidateFilter; @Override publicvoidconfigure(HttpSecurityhttp)throwsException{ //创建手机校验过滤器实例 SmsCodeAuthenticationFiltersmsCodeAuthenticationFilter=newSmsCodeAuthenticationFilter(); //接收AuthenticationManager认证管理器 smsCodeAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class)); //处理成功handler //smsCodeAuthenticationFilter.setAuthenticationSuccessHandler(myAuthenticationSuccessHandler); //处理失败handler //smsCodeAuthenticationFilter.setAuthenticationFailureHandler(myAuthenticationFailureHandler); smsCodeAuthenticationFilter.setRememberMeServices(http.getSharedObject(RememberMeServices.class)); smsCodeAuthenticationFilter.setSessionAuthenticationStrategy(http.getSharedObject(SessionAuthenticationStrategy.class)); //获取验证码提供者 SmsCodeAuthenticationProvidersmsCodeAuthenticationProvider=newSmsCodeAuthenticationProvider(); smsCodeAuthenticationProvider.setUserDetailsService(smsCodeUserDetailsService); //在用户密码过滤器前面加入短信验证码校验过滤器 http.addFilterBefore(smsCodeValidateFilter,UsernamePasswordAuthenticationFilter.class); //在用户密码过滤器后面加入短信验证码认证授权过滤器 http.authenticationProvider(smsCodeAuthenticationProvider) .addFilterAfter(smsCodeAuthenticationFilter,UsernamePasswordAuthenticationFilter.class); } }

配置了 .maxSessionsPreventsLogin(true) 开启了前面已登录，不允许再重复登录上面默认情况，如果登录后，然后请求 /logout 退出，再重新登录时，会提示不能重复登录。

每次登录请求都会执行 ConcurrentSessionControlAuthenticationStrategy#onAuthentication判断用户在系统是否已经存在 session了, 且判断是否已经超过限制的session数量了,超出则抛异常

原因是退出时,并没有将 SessionRegistryImpl.principals缓存用户信息进行删除

@Override publicvoidonAuthentication(Authenticationauthentication,HttpServletRequestrequest, HttpServletResponseresponse){ intallowedSessions=getMaximumSessionsForThisUser(authentication); if(allowedSessions==-1){ //Wepermitunlimitedlogins return; } //获取当前用户在系统中的所有session List<SessionInformation>sessions=this.sessionRegistry.getAllSessions(authentication.getPrincipal(),false); intsessionCount=sessions.size(); if(sessionCount<allowedSessions){ //用户session总个数小于设置的最大session数,则直接通过 return; } //创建session if(sessionCount==allowedSessions){ HttpSessionsession=request.getSession(false); if(session!=null){ //Onlypermititthoughifthisrequestisassociatedwithoneofthe //alreadyregisteredsessions for(SessionInformationsi:sessions){ if(si.getSessionId().equals(session.getId())){ return; } } } } //超出允许的session的个数,maxSessionsPreventsLogin(true)抛出异常不让登录 allowableSessionsExceeded(sessions,allowedSessions,this.sessionRegistry); }

• 在com.security.learn.config.Myconfig中注入SessionRegistry

@Bean publicSessionRegistrysessionRegistry(){ returnnewSessionRegistryImpl(); }

• 添加一个退出处理器com.security.learn.handler.MyLogoutHandler ,将用户信息从缓存中清

除

@Component publicclassMyLogoutHandlerimplementsLogoutHandler{ @Autowired privateSessionRegistrysessionRegistry; @Override publicvoidlogout(HttpServletRequestrequest, HttpServletResponseresponse, Authenticationauthentication){ //退出之后，将对应session从缓存中清除SessionRegistryImpl.principals sessionRegistry.removeSessionInformation(request.getSession().getId()); } }

SpringSecurityConfifig 注入 customLogoutHandler

在 com.security.learn.config.LearnSrpingSecurity注入MyLogoutHandler

/** *退出清除缓存 */ @Autowired privateMyLogoutHandlermyLogoutHandler; @Autowired privateSessionRegistrysessionRegistry; .and().logout() .addLogoutHandler(myLogoutHandler) .logoutUrl("/logout") .logoutSuccessUrl("/login/page") .deleteCookies("JSESSIONID")

如果您觉得本文不错，欢迎关注,点赞,收藏支持，您的关注是我坚持的动力！

原创不易，转载请注明出处，感谢支持！如果本文对您有用，欢迎转发分享！