springsecurity的用户登录(SpringSecurity-11-只允许一个用户登录)
本次给你介绍只允许用户在一个地方登录,也就是说每个用户只允许有一个Session。他有两种场景
- 如果同一个用户在第二个地方登录,则将第一个登录下线
- 如果同一个用户在第二个地方登录,则不允许二次的登录
具体步骤如下:
- 重构com.security.learn.config.LearnSrpingSecurity的configure(HttpSecurity http)方法
@Autowired
privateSessionInformationExpiredStrategysessionInformationExpiredStrategy;
.and()
.sessionManagement()
.invalidSessionStrategy(invalidSessionStrategy)
.maximumSessions(1)////每个用户在系统中的最大session数
//.maxSessionsPreventsLogin(true)
.expiredSessionStrategy(sessionInformationExpiredStrategy)//当用户达到最大session数后,则调用此处的实现
- 自定义sessionInformationExpiredStrategy实现类来定制策略
importcom.fasterxml.jackson.databind.ObjectMapper;
importcom.security.learn.handler.MyAuthenticationFailureHandler;
importorg.springframework.beans.factory.annotation.Autowired;
importorg.springframework.security.authentication.AuthenticationServiceexception;
importorg.springframework.security.core.AuthenticationException;
importorg.springframework.security.core.userdetails.UserDetails;
importorg.springframework.security.web.session.SessionInformationExpiredEvent;
importorg.springframework.security.web.session.SessionInformationExpiredStrategy;
importjavax.servlet.ServletException;
importjava.io.IOException;
publicclassMySessionInformationExpiredStrategyimplementsSessionInformationExpiredStrategy{
//JacksonJSON数据处理类
privatestaticObjectMapperobjectMapper=newObjectMapper();
@Autowired
MyAuthenticationFailureHandlermyAuthenticationFailureHandler;
@Override
publicvoidonExpiredSessionDetected(SessionInformationExpiredEventevent)throwsIOException,ServletException{
//1.获取用户名
UserDetailsuserDetails=
(UserDetails)event.getSessionInformation().getPrincipal();
AuthenticationExceptionexception=
newAuthenticationServiceException(
String.format("[%s]用户在另外一台电脑登录,您已被下线",userDetails.getUsername()));
try{
//当用户在另外一台电脑登录后,交给失败处理器回到认证页面
event.getrequest().setAttribute("toAuthentication",true);
myAuthenticationFailureHandler
.onAuthenticationFailure(event.getRequest(),event.getResponse(),exception);
}catch(ServletExceptione){
e.printStackTrace();
}
}
}
- 在com.security.learn.config.Myconfig类中注入SessionInformationExpiredStrategy
@Bean
@ConditionalOnMissingBean(SessionInformationExpiredStrategy.class)
publicSessionInformationExpiredStrategyinformationExpiredStrategy(){
returnnewMySessionInformationExpiredStrategy();
}
- 谷歌浏览器用户名密码登录
- 再使用火狐浏览器用户名密码登录
- 回到谷歌浏览器刷新请求,发现回到登录页面,提示被下线
如果同一个用户在第二个地方登录,则不允许二次的登录
如果同一用户在第2个地方登录时,则不允许他二次登录。
实现步骤:
- 在 LearnSrpingSecurity添加 maxSessionsPreventsLogin(true) 后不允许二次登录,其实就是添加一个 .maxSessionsPreventsLogin(true)。
.and()
.sessionManagement()
.invalidSessionStrategy(invalidSessionStrategy)
.maximumSessions(1)////每个用户在系统中的最大session数
.maxSessionsPreventsLogin(true)
.expiredSessionStrategy(sessionInformationExpiredStrategy)//当用户达到最大session数后,则调用此处的实现
;
- 谷歌浏览器用户名密码登录
- 再使用火狐浏览器用户名密码登录,发现不允许登录
解决同一用户的手机重复登录问题
使用了 admin 用户名登录后,还可以使用这个用户的手机号登录。正常应该是同一个用户,系统中只能用用户名或手机号登录一次。
解决问题:
原因是 SmsCodeAuthenticationFilter继承的类 AbstractAuthenticationProcessingFilter 中,默认使用了 NullAuthenticatedSessionStrategy 实例管理 Session,我们应该指定用户名密码过滤器中所使用的那个 SessionAuthenticationStrategy 实现类 CompositeSessionAuthenticationStrategy 。在com.security.learn.config.SmsCodeSecurityConfig指定即可解决:
@Component
publicclassSmsCodeSecurityConfigextendsSecurityConfigurerAdapter<DefaultSecurityFilterChain,HttpSecurity>{
@Autowired
@Qualifier("smsCodeUserDetailsService")
privateSmsCodeUserDetailsServicesmsCodeUserDetailsService;
@Resource
privateSmsCodeValidateFiltersmsCodeValidateFilter;
@Override
publicvoidconfigure(HttpSecurityhttp)throwsException{
//创建手机校验过滤器实例
SmsCodeAuthenticationFiltersmsCodeAuthenticationFilter=newSmsCodeAuthenticationFilter();
//接收AuthenticationManager认证管理器
smsCodeAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
//处理成功handler
//smsCodeAuthenticationFilter.setAuthenticationSuccessHandler(myAuthenticationSuccessHandler);
//处理失败handler
//smsCodeAuthenticationFilter.setAuthenticationFailureHandler(myAuthenticationFailureHandler);
smsCodeAuthenticationFilter.setRememberMeServices(http.getSharedObject(RememberMeServices.class));
smsCodeAuthenticationFilter.setSessionAuthenticationStrategy(http.getSharedObject(SessionAuthenticationStrategy.class));
//获取验证码提供者
SmsCodeAuthenticationProvidersmsCodeAuthenticationProvider=newSmsCodeAuthenticationProvider();
smsCodeAuthenticationProvider.setUserDetailsService(smsCodeUserDetailsService);
//在用户密码过滤器前面加入短信验证码校验过滤器
http.addFilterBefore(smsCodeValidateFilter,UsernamePasswordAuthenticationFilter.class);
//在用户密码过滤器后面加入短信验证码认证授权过滤器
http.authenticationProvider(smsCodeAuthenticationProvider)
.addFilterAfter(smsCodeAuthenticationFilter,UsernamePasswordAuthenticationFilter.class);
}
}
退出系统 解决退出不允许再次登录
配置了 .maxSessionsPreventsLogin(true) 开启了前面已登录,不允许再重复登录上面默认情况,如果登录后,然后请求 /logout 退出,再重新登录时,会提示不能重复登录。
源码分析
每次登录请求都会执行 ConcurrentSessionControlAuthenticationStrategy#onAuthentication判断用户在系统是否已经存在 session了, 且判断是否已经超过限制的session数量了,超出则抛异常
原因是退出时,并没有将 SessionRegistryImpl.principals缓存用户信息进行删除
@Override
publicvoidonAuthentication(Authenticationauthentication,HttpServletRequestrequest,
HttpServletResponseresponse){
intallowedSessions=getMaximumSessionsForThisUser(authentication);
if(allowedSessions==-1){
//Wepermitunlimitedlogins
return;
}
//获取当前用户在系统中的所有session
List<SessionInformation>sessions=this.sessionRegistry.getAllSessions(authentication.getPrincipal(),false);
intsessionCount=sessions.size();
if(sessionCount<allowedSessions){
//用户session总个数小于设置的最大session数,则直接通过
return;
}
//创建session
if(sessionCount==allowedSessions){
HttpSessionsession=request.getSession(false);
if(session!=null){
//Onlypermititthoughifthisrequestisassociatedwithoneofthe
//alreadyregisteredsessions
for(SessionInformationsi:sessions){
if(si.getSessionId().equals(session.getId())){
return;
}
}
}
}
//超出允许的session的个数,maxSessionsPreventsLogin(true)抛出异常不让登录
allowableSessionsExceeded(sessions,allowedSessions,this.sessionRegistry);
}
- 在com.security.learn.config.Myconfig中注入SessionRegistry
@Bean
publicSessionRegistrysessionRegistry(){
returnnewSessionRegistryImpl();
}
- 添加一个退出处理器com.security.learn.handler.MyLogoutHandler ,将用户信息从缓存中清
除
@Component
publicclassMyLogoutHandlerimplementsLogoutHandler{
@Autowired
privateSessionRegistrysessionRegistry;
@Override
publicvoidlogout(HttpServletRequestrequest,
HttpServletResponseresponse,
Authenticationauthentication){
//退出之后,将对应session从缓存中清除SessionRegistryImpl.principals
sessionRegistry.removeSessionInformation(request.getSession().getId());
}
}
SpringSecurityConfifig 注入 customLogoutHandler
自定义退出处理在 com.security.learn.config.LearnSrpingSecurity注入MyLogoutHandler
/**
*退出清除缓存
*/
@Autowired
privateMyLogoutHandlermyLogoutHandler;
@Autowired
privateSessionRegistrysessionRegistry;
.and().logout()
.addLogoutHandler(myLogoutHandler)
.logoutUrl("/logout")
.logoutSuccessUrl("/login/page")
.deleteCookies("JSESSIONID")
如果您觉得本文不错,欢迎关注,点赞,收藏支持,您的关注是我坚持的动力!
原创不易,转载请注明出处,感谢支持!如果本文对您有用,欢迎转发分享!
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com