歡迎您光臨本站 註冊首頁
開源互助社區>文檔>Java

Spring Security 自動踢掉前一個登錄用戶的實現代碼

←手機掃碼閱讀     月球人 @ 2020-05-09 , reply:0

登錄成功後,自動踢掉前一個登錄用戶,鬆哥第一次見到這個功能,就是在扣扣裡邊見到的,當時覺得挺好玩的。
自己做開發後,也遇到過一模一樣的需求,正好最近的 Spring Security 系列正在連載,就結合 Spring Security 來和大家聊一聊這個功能如何實現。
本文是本系列的第十三篇,閱讀前面文章有助於更好的理解本文:
1.需求分析
在同一個系統中,我們可能只允許一個用戶在一個終端上登錄,一般來說這可能是出於安全方面的考慮,但是也有一些情況是出於業務上的考慮,鬆哥之前遇到的需求就是業務原因要求一個用戶只能在一個設備上登錄。
要實現一個用戶不可以同時在兩臺設備上登錄,我們有兩種思路:
後來的登錄自動踢掉前面的登錄,就像大家在扣扣中看到的效果。
如果用戶已經登錄,則不允許後來者登錄。
這種思路都能實現這個功能,具體使用哪一個,還要看我們具體的需求。
在 Spring Security 中,這兩種都很好實現,一個配置就可以搞定。
2.具體實現
2.1 踢掉已經登錄用戶
想要用新的登錄踢掉舊的登錄,我們只需要將最大會話數設置為 1 即可,配置如下:
@Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login.html") .permitAll() .and() .csrf().disable() .sessionManagement() .maximumSessions(1); }
maximumSessions 表示配置最大會話數為 1,這樣後面的登錄就會自動踢掉前面的登錄。這裡其他的配置都是我們前面文章講過的,我就不再重複介紹,文末可以下載案例完整代碼。
配置完成後,分別用 Chrome 和 Firefox 兩個瀏覽器進行測試(或者使用 Chrome 中的多用戶功能)。
Chrome 上登錄成功後,訪問 /hello 接口。
Firefox 上登錄成功後,訪問 /hello 接口。
在 Chrome 上再次訪問 /hello 接口,此時會看到如下提示:
This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).
可以看到,這裡說這個 session 已經過期,原因則是由於使用同一個用戶進行併發登錄。
2.2 禁止新的登錄
如果相同的用戶已經登錄了,你不想踢掉他,而是想禁止新的登錄操作,那也好辦,配置方式如下:
@Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login.html") .permitAll() .and() .csrf().disable() .sessionManagement() .maximumSessions(1) .maxSessionsPreventsLogin(true); }
添加 maxSessionsPreventsLogin 配置即可。此時一個瀏覽器登錄成功後,另外一個瀏覽器就登錄不了了。
是不是很簡單?
不過還沒完,我們還需要再提供一個 Bean:
@Bean HttpSessionEventPublisher httpSessionEventPublisher() { return new HttpSessionEventPublisher(); }
為什麼要加這個 Bean 呢?因為在 Spring Security 中,它是通過監聽 session 的銷燬事件,來及時的清理 session 的記錄。用戶從不同的瀏覽器登錄後,都會有對應的 session,當用戶註銷登錄之後,session 就會失效,但是默認的失效是通過調用 StandardSession#invalidate 方法來實現的,這一個失效事件無法被 Spring 容器感知到,進而導致當用戶註銷登錄之後,Spring Security 沒有及時清理會話信息表,以為用戶還在線,進而導致用戶無法重新登錄進來(小夥伴們可以自行嘗試不添加上面的 Bean,然後讓用戶註銷登錄之後再重新登錄)。
為了解決這一問題,我們提供一個 HttpSessionEventPublisher ,這個類實現了 HttpSessionListener 接口,在該 Bean 中,可以將 session 創建以及銷燬的事件及時感知到,並且調用 Spring 中的事件機制將相關的創建和銷燬事件發佈出去,進而被 Spring Security 感知到,該類部分源碼如下:
public void sessionCreated(HttpSessionEvent event) { HttpSessionCreatedEvent e = new HttpSessionCreatedEvent(event.getSession()); getContext(event.getSession().getServletContext()).publishEvent(e); } public void sessionDestroyed(HttpSessionEvent event) { HttpSessionDestroyedEvent e = new HttpSessionDestroyedEvent(event.getSession()); getContext(event.getSession().getServletContext()).publishEvent(e); }
OK,雖然多了一個配置,但是依然很簡單!
3.實現原理
上面這個功能,在 Spring Security 中是怎麼實現的呢?我們來稍微分析一下源碼。
首先我們知道,在用戶登錄的過程中,會經過 UsernamePasswordAuthenticationFilter(參考: Spring Security 登錄流程),而 UsernamePasswordAuthenticationFilter 中過濾方法的調用是在 AbstractAuthenticationProcessingFilter 中觸發的,我們來看下 AbstractAuthenticationProcessingFilter#doFilter 方法的調用:
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) req; HttpServletResponse response = (HttpServletResponse) res; if (!requiresAuthentication(request, response)) { chain.doFilter(request, response); return; } Authentication authResult; try { authResult = attemptAuthentication(request, response); if (authResult == null) { return; } sessionStrategy.onAuthentication(authResult, request, response); } catch (InternalAuthenticationServiceException failed) { unsuccessfulAuthentication(request, response, failed); return; } catch (AuthenticationException failed) { unsuccessfulAuthentication(request, response, failed); return; } // Authentication success if (continueChainBeforeSuccessfulAuthentication) { chain.doFilter(request, response); } successfulAuthentication(request, response, chain, authResult);
在這段代碼中,我們可以看到,調用 attemptAuthentication 方法走完認證流程之後,回來之後,接下來就是調用 sessionStrategy.onAuthentication 方法,這個方法就是用來處理 session 的併發問題的。具體在:
public class ConcurrentSessionControlAuthenticationStrategy implements MessageSourceAware, SessionAuthenticationStrategy { public void onAuthentication(Authentication authentication, HttpServletRequest request, HttpServletResponse response) { final List

sessions = sessionRegistry.getAllSessions( authentication.getPrincipal(), false); int sessionCount = sessions.size(); int allowedSessions = getMaximumSessionsForThisUser(authentication); if (sessionCount < allowedSessions) { // They haven't got too many login sessions running at present return; } if (allowedSessions == -1) { // We permit unlimited logins return; } if (sessionCount == allowedSessions) { HttpSession session = request.getSession(false); if (session != null) { // Only permit it though if this request is associated with one of the // already registered sessions for (SessionInformation si : sessions) { if (si.getSessionId().equals(session.getId())) { return; } } } // If the session is null, a new one will be created by the parent class, // exceeding the allowed number } allowableSessionsExceeded(sessions, allowedSessions, sessionRegistry); } protected void allowableSessionsExceeded(Listsessions, int allowableSessions, SessionRegistry registry) throws SessionAuthenticationException { if (exceptionIfMaximumExceeded || (sessions == null)) { throw new SessionAuthenticationException(messages.getMessage( "ConcurrentSessionControlAuthenticationStrategy.exceededAllowed", new Object[] {allowableSessions}, "Maximum sessions of {0} for this principal exceeded")); } // Determine least recently used sessions, and mark them for invalidation sessions.sort(Comparator.comparing(SessionInformation::getLastRequest)); int maximumSessionsExceededBy = sessions.size() - allowableSessions + 1; ListsessionsToBeExpired = sessions.subList(0, maximumSessionsExceededBy); for (SessionInformation session: sessionsToBeExpired) { session.expireNow(); } } }
這段核心代碼我來給大家稍微解釋下:
首先調用 sessionRegistry.getAllSessions 方法獲取當前用戶的所有 session,該方法在調用時,傳遞兩個參數,一個是當前用戶的 authentication,另一個參數 false 表示不包含已經過期的 session(在用戶登錄成功後,會將用戶的 sessionid 存起來,其中 key 是用戶的主體(principal),value 則是該主題對應的 sessionid 組成的一個集合)。
接下來計算出當前用戶已經有幾個有效 session 了,同時獲取允許的 session 併發數。
如果當前 session 數(sessionCount)小於 session 併發數(allowedSessions),則不做任何處理;如果 allowedSessions 的值為 -1,表示對 session 數量不做任何限制。
如果當前 session 數(sessionCount)等於 session 併發數(allowedSessions),那就先看看當前 session 是否不為 null,並且已經存在於 sessions 中了,如果已經存在了,那都是自家人,不做任何處理;如果當前 session 為 null,那麼意味著將有一個新的 session 被創建出來,屆時當前 session 數(sessionCount)就會超過 session 併發數(allowedSessions)。
如果前面的代碼中都沒能 return 掉,那麼將進入策略判斷方法 allowableSessionsExceeded 中。
allowableSessionsExceeded 方法中,首先會有 exceptionIfMaximumExceeded 屬性,這就是我們在 SecurityConfig 中配置的 maxSessionsPreventsLogin 的值,默認為 false,如果為 true,就直接拋出異常,那麼這次登錄就失敗了(對應 2.2 小節的效果),如果為 false,則對 sessions 按照請求時間進行排序,然後再使多餘的 session 過期即可(對應 2.1 小節的效果)。
4.小結
如此,兩行簡單的配置就實現了 Spring Security 中 session 的併發管理。是不是很簡單?不過這裡還有一個小小的坑,鬆哥將在下篇文章中繼續和大家分析。
本文案例大家可以從 GitHub 上下載:https://github.com/lenve/spring-security-samples

[月球人 ] Spring Security 自動踢掉前一個登錄用戶的實現代碼已經有256次圍觀

http://coctec.com/docs/java/show-post-233395.html

熱門文章

  1. Hibernate初學之優缺點
  2. JavaScript非同步編程的4種方法
  3. 三層架構與MVC謎團之答案揭曉
  4. 如何能讓Java生成複雜Word文檔
  5. 總結JSP與servlet之間的傳值
  6. Java中synchronized用法
  7. Timestamp基礎知識及時間大小比較
  8. Java或web中解決所有路徑問題
  9. Hibernate中Criteria的用法
  10. Java異常集

最新文章

  1. Java實現快速並查集
  2. Java實現並查集
  3. Springboot多種情況yml配置代碼實例
  4. 全面解析Spring Security 內置 Filter
  5. 全面解析Spring Security 過濾器鏈的機制和特性
  6. Spring Security 和Apache Shiro你需要具備哪些條件
  7. Spring Security中的Servlet過濾器體系代碼分析
  8. 一文讀懂Java Iterator(迭代器)
  9. 實例講解Java HashSet
  10. Java計時器StopWatch實現方法代碼實例