备案控制台
开发者社区 开发与运维 文章 正文

spring security 个性化登录策略

2023-01-31 87
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: spring security 个性化登录策略

最近做一个项目,安全框架采用spring security 。由于业务需要,要限制一个账户只能登录一次,不能在多个浏览器登录,也就是一个账户只能对应一个sessionid。这个很好实现,配置上默认的 session并发策略ConcurrentSessionControlAuthenticationStrategy类,设置maximumSessions值为1。代码如下:



<sec:http use-expressions="false" auto-config="true">
        <sec:session-management invalid-session-url="/sessionexpired" session-authentication-strategy ref="sas" />
    </sec:http>
<bean id="sas"
        class="org.springframework.security.web.authentication.session.CompositeSessionAuthenticationStrategy">
        <constructor-arg>
            <list>
                <bean
                    class="org.springframework.security.web.authentication.session.ConcurrentSessionControlAuthenticationStrategy">
                    <constructor-arg ref="sessionRegistry" />
                    <property name="maximumSessions" value="1" />
                    <property name="exceptionIfMaximumExceeded" value="false" />
                </bean>
            </list>
        </constructor-arg>
    </bean>

但是这样如果账户a在一个地方登录,然后又换另外一个地方登录,后登录的会导致前一个用户session失效,也就是会踢掉前面登录的用户。这样是不允许的,而需要要求是,可以根据用户某个状态来判断,如果用户处在空闲状态,就允许同一个账号后登录的踢掉前面登录的,如果是繁忙状态就不允许登录。经过研究ConcurrentSessionControlAuthenticationStrategy类的源码,获得灵感,自定义一个SessionAuthenticationStrategy的实现类CloudqControlAuthenticationStrategy,里面增加状态判断,如果不满足条件就抛出异常,问题就可以解决了。配置代码如下:



<bean id="sas"
        class="org.springframework.security.web.authentication.session.CompositeSessionAuthenticationStrategy">
        <constructor-arg>
            <list>
                    <bean
                    class="com.raymon.cloudq.security.CloudqControlAuthenticationStrategy">
                </bean>
                <bean
                    class="org.springframework.security.web.authentication.session.ConcurrentSessionControlAuthenticationStrategy">
                    <constructor-arg ref="sessionRegistry" />
                    <property name="maximumSessions" value="1" />
                    <property name="exceptionIfMaximumExceeded" value="false" />
                </bean>
            </list>
        </constructor-arg>
    </bean>

自定义策略代码:

public class CloudqControlAuthenticationStrategy implements SessionAuthenticationStrategy {
    private org.slf4j.Logger logger = LoggerFactory.getLogger(getClass());
    @Override
    public void onAuthentication(Authentication authentication, HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse)  throws SessionAuthenticationException  {
        AuthUserDetails authUserDetails=(AuthUserDetails)authentication.getPrincipal();
        Integer branchesId=authUserDetails.getClientEmpUser().getBranchesId();
        Integer empId=authUserDetails.getClientEmpUser().getEmpId();
        if(条件不满足){//抛出异常
            throw new SessionAuthenticationException(message);
        }
    }
}

注意自定义策略的放置顺序要在其他策略前面,否则可能会造成自己的业务逻辑执行过晚,进而达不到目的。


文章标签:
Java
搜索推荐
Spring
安全
关键词:
Spring Security
Spring策略
Spring登录
Spring security登录
Spring个性化
程序员石磊
目录
相关文章
s:103
|
19天前
|
XML 安全 前端开发
Spring Security 重点解析(下)
Spring Security 重点解析
s:103
39 1
wljslmz
|
19天前
|
安全 Java 数据安全/隐私保护
解锁安全之门:探索Spring Security中的路径匹配方案
【4月更文挑战第18天】
wljslmz
53 1
解锁安全之门:探索Spring Security中的路径匹配方案
s:103
|
19天前
|
安全 NoSQL Java
Spring Security 重点解析(上)
Spring Security 重点解析
s:103
34 1
源码星辰
|
10天前
|
安全 前端开发 Java
学习从Struts迁移到Spring的策略概述
从Struts框架迁移到Spring框架是一个常见的升级路径,主要是为了利用Spring框架提供的更多功能、更好的模块化支持以及更广泛的社区资源。
源码星辰
21 3
江帅帅
|
19天前
|
存储 安全 Java
第10章 Spring Security 的未来趋势与高级话题(2024 最新版)(下)
第10章 Spring Security 的未来趋势与高级话题(2024 最新版)
江帅帅
29 2
江帅帅
|
19天前
|
安全 Cloud Native Java
第10章 Spring Security 的未来趋势与高级话题(2024 最新版)(上)
第10章 Spring Security 的未来趋势与高级话题(2024 最新版)
江帅帅
35 2
江帅帅
|
19天前
|
存储 安全 Java
第9章 Spring Security 的测试与维护 (2024 最新版)(下)
第9章 Spring Security 的测试与维护 (2024 最新版)
江帅帅
25 1
江帅帅
|
19天前
|
安全 Java 测试技术
第9章 Spring Security 的测试与维护 (2024 最新版)(上)
第9章 Spring Security 的测试与维护 (2024 最新版)
江帅帅
29 0
江帅帅
|
19天前
|
缓存 Java 数据库
第8章 Spring Security 的常见问题与解决方案(2024 最新版)(下)
第8章 Spring Security 的常见问题与解决方案(2024 最新版)
江帅帅
36 0
江帅帅
|
19天前
|
安全 Java 数据安全/隐私保护
第8章 Spring Security 的常见问题与解决方案(2024 最新版)(上)
第8章 Spring Security 的常见问题与解决方案(2024 最新版)
江帅帅
42 0

热门文章

最新文章

  • 1
    SpringMVC注解@RequestParam全面解析
  • 2
    (十) Spring Cloud构建分布式微服务架构 - SSO单点登录之OAuth2.0登录认证(1)
  • 3
    Spring Boot 集成 MyBatis和 SQL Server实践
  • 4
    SpringCloud Alibaba
  • 5
    Spring的IOC,你真的能解释清楚吗?
  • 6
    SSM-Spring-21:Spring中事物的使用案例
  • 7
    Spring Boot(二)Customizing the Banner
  • 8
    spring @Qualifier注解使用
  • 9
    开发者学堂课程干货总结——Spring Boot 2.5.x开发实战(五)
  • 10
    spring+springMVC+mybatis的整合 part2
  • 1
    Spring Boot整合Spring Security--学习笔记
    65
  • 2
    【spring(六)】WebSocket网络传输协议
    37
  • 3
    【spring(五)】SpringMvc总结 SSM整合流程
    35
  • 4
    【spring(四)】Spring事务管理和@Transactional注解
    51
  • 5
    Spring Boot 4.0:构建云原生Java应用的前沿工具
    120
  • 6
    Java 新手如何使用Spring MVC 中的查询字符串和查询参数
    27
  • 7
    Spring Boot的定时任务与异步任务
    64
  • 8
    通用Shell脚本执行Spring Boot项目Jar包
    43
  • 9
    Spring Batch学习记录及示例项目代码
    36
  • 10
    如何使用Spring Data JPA完成审计功能
    21

    • 相关课程

    更多
  • 全面讲解Spring Cloud Alibaba技术栈(知识精讲+项目实战)第四阶段
  • 精通Spring Cloud Alibaba
  • 微服务框架 Spring Cloud 快速入门
  • Java Web开发系列课程 - Spring框架入门
  • Spring Boot 2.5.x开发实战
  • Spring Cloud微服务架构设计与开发实战

    • 相关电子书

    更多
  • 云栖社区特邀专家徐雷Java Spring Boot开发实战系列课程(第20讲):经典面试题与阿里等名企内部招聘求职面试技巧
  • 微服务架构模式与原理Spring Cloud开发实战
  • 阿里特邀专家徐雷Java Spring Boot开发实战系列课程(第18讲):制作Java Docker镜像与推送到DockerHub和阿里云Docker仓库

    • 相关实验场景

    更多
  • 从零搭建Spring Boot的Hello World
    • 下一篇
    2024年阿里云免费云服务器及学生云服务器申请教程参考