這篇文章主要介紹了Spring Security實現禁止用戶重復登陸的配置原理,文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

系統使用了Spring Security做權限管理，現在對于系統的用戶，需要改動配置，實現無法多地登陸。

一、SpringMVC項目，配置如下：

首先在修改Security相關的XML，我這里是spring-security.xml，修改UsernamePasswordAuthenticationFilter相關Bean的構造配置

加入

新增sas的Bean及其相關配置

class="org.springframework.security.core.session.SessionRegistryImpl" />

加入ConcurrentSessionFilter相關Bean配置

class="org.springframework.security.web.session.ConcurrentSessionFilter">

class="org.springframework.security.web.session.SimpleRedirectSessionInformationExpiredStrategy">

二、SpringBoot項目

略

三、Bean配置說明

SessionAuthenticationStrategy：該接口中存在onAuthentication方法用于對新登錄用戶進行session相關的校驗。

查看UsernamePasswordAuthenticationFilter及其父類代碼，可以發現在doFilter中存在sessionStrategy.onAuthentication(authResult, request, response);方法

但UsernamePasswordAuthenticationFilter中的sessionStrategy對象默認為NullAuthenticatedSessionStrategy，即不對session進行相關驗證。

如本文配置，建立id為sas的CompositeSessionAuthenticationStrategy的Bean對象。

CompositeSessionAuthenticationStrategy可以理解為一個托管類，托管所有實現SessionAuthenticationStrategy接口的對象，用來批量托管執行onAuthentication函數

這里CompositeSessionAuthenticationStrategy中注入了三個對象，關注ConcurrentSessionControlAuthenticationStrategy，它實現了對于session并發的控制

UsernamePasswordAuthenticationFilter的Bean中注入新配置的sas，用于替換原本的NullAuthenticatedSessionStrategy

ConcurrentSessionFilter的Bean用來驗證session是否失效，并通過SimpleRedirectSessionInformationExpiredStrategy將失敗訪問進行跳轉。

四、代碼流程說明(這里模擬用戶現在A處登錄，隨后用戶在B處登錄，之后A處再進行操作時會返回失敗，提示重新登錄)

1、用戶在A處登錄，UsernamePasswordAuthenticationFilter調用sessionStrategy.onAuthentication進行session驗證

2、ConcurrentSessionControlAuthenticationStrategy中的onAuthentication開始進行session驗證，服務器中保存了登錄后的session

/**

* In addition to the steps from the superclass, the sessionRegistry will be updated

* with the new session information.

*/

public void onAuthentication(Authentication authentication,

HttpServletRequest request, HttpServletResponse response) {

//根據所登錄的用戶信息，查詢相對應的現存session列表

final List sessions = sessionRegistry.getAllSessions(

authentication.getPrincipal(), false);

int sessionCount = sessions.size();

//獲取session并發數量，對于XML中的maximumSessions

int allowedSessions = getMaximumSessionsForThisUser(authentication);

//判斷現有session列表數量和并發控制數間的關系

//如果是首次登錄，根據xml配置，這里應該是0<1，程序將會繼續向下執行，

//最終執行到SessionRegistryImpl的registerNewSession進行新session的保存

if (sessionCount < allowedSessions) {

// They haven't got too many login sessions running at present

return;

}

if (allowedSessions == -1) {

// We permit unlimited logins

return;

}

if (sessionCount == allowedSessions) {

//獲取本次http請求的session

HttpSession session = request.getSession(false);

if (session != null) {

// Only permit it though if this request is associated with one of the

// already registered sessions

for (SessionInformation si : sessions) {

//循環已保存的session列表，判斷本次http請求session是否已經保存

if (si.getSessionId().equals(session.getId())) {

//本次http請求是有效請求，返回執行下一個filter

return;

}

}

}

// If the session is null, a new one will be created by the parent class,

// exceeding the allowed number

}

//本次http請求為新請求，進入具體判斷

allowableSessionsExceeded(sessions, allowedSessions, sessionRegistry);

}

/**

* Allows subclasses to customise behaviour when too many sessions are detected.

*

* @param sessions either null or all unexpired sessions associated with

* the principal

* @param allowableSessions the number of concurrent sessions the user is allowed to

* have

* @param registry an instance of the SessionRegistry for subclass use

*

*/

protected void allowableSessionsExceeded(List sessions,

int allowableSessions, SessionRegistry registry)

throws SessionAuthenticationException {

//根據exceptionIfMaximumExceeded判斷是否要將新http請求拒絕

//exceptionIfMaximumExceeded也可以在XML中配置

if (exceptionIfMaximumExceeded || (sessions == null)) {

throw new SessionAuthenticationException(messages.getMessage(

"ConcurrentSessionControlAuthenticationStrategy.exceededAllowed",

new Object[] { Integer.valueOf(allowableSessions) },

"Maximum sessions of {0} for this principal exceeded"));

}

// Determine least recently used session, and mark it for invalidation

SessionInformation leastRecentlyUsed = null;

//若不拒絕新請求，遍歷現存seesion列表

for (SessionInformation session : sessions) {

//獲取上一次/已存的session信息

if ((leastRecentlyUsed == null)

|| session.getLastRequest()

.before(leastRecentlyUsed.getLastRequest())) {

leastRecentlyUsed = session;

}

}

//將上次session信息寫為無效(欺騙)

leastRecentlyUsed.expireNow();

}

3、用戶在B處登錄，再次通過ConcurrentSessionControlAuthenticationStrategy的檢查，將A處登錄的session置于無效狀態，并在session列表中添加本次session

4、用戶在A處嘗試進行其他操作，ConcurrentSessionFilter進行Session相關的驗證，發現A處用戶已經失效，提示重新登錄

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest request = (HttpServletRequest) req;

HttpServletResponse response = (HttpServletResponse) res;

//獲取本次http請求的session

HttpSession session = request.getSession(false);

if (session != null) {

//從本地session關系表中取出本次http訪問的具體session信息

SessionInformation info = sessionRegistry.getSessionInformation(session

.getId());

//如果存在信息，則繼續執行

if (info != null) {

//判斷session是否已經失效(這一步在本文4.2中被執行)

if (info.isExpired()) {

// Expired - abort processing

if (logger.isDebugEnabled()) {

logger.debug("Requested session ID "

+ request.getRequestedSessionId() + " has expired.");

}

//執行登出操作

doLogout(request, response);

//從XML配置中的redirectSessionInformationExpiredStrategy獲取URL重定向信息，頁面跳轉到登錄頁面

this.sessionInformationExpiredStrategy.onExpiredSessionDetected(new SessionInformationExpiredEvent(info, request, response));

return;

}

else {

// Non-expired - update last request date/time

sessionRegistry.refreshLastRequest(info.getSessionId());

}

}

}

chain.doFilter(request, response);

}

5、A處用戶只能再次登錄，這時B處用戶session將會失效重登，如此循環

以上就是本文的全部內容，希望對大家的學習有所幫助，也希望大家多多支持腳本之家。

總結

以上是生活随笔為你收集整理的仅对此用户禁用 java_Spring Security实现禁止用户重复登陆的配置原理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。