AI 助理
文档备案控制台
开发者社区 安全 文章 正文

SpringSecurity-11-只允许一个用户登录

2023-08-30 670
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: SpringSecurity-11-只允许一个用户登录

SpringSecurity-11-只允许一个用户登录


本次给你介绍只允许用户在一个地方登录,也就是说每个用户只允许有一个Session。他有两种场景

  • 如果同一个用户在第二个地方登录,则将第一个登录下线
  • 如果同一个用户在第二个地方登录,则不允许二次的登录



同一个用户在第二个地方登录,则将第一个登录退出

具体步骤如下:

  1. 重构com.security.learn.config.LearnSrpingSecurity的configure(HttpSecurity http)方法
     @Autowired
    private SessionInformationExpiredStrategy sessionInformationExpiredStrategy;
            .and()
                .sessionManagement()
                .invalidSessionStrategy(invalidSessionStrategy)
                .maximumSessions(1) 每个用户在系统中的最大session数
               // .maxSessionsPreventsLogin(true)
                .expiredSessionStrategy(sessionInformationExpiredStrategy)// 当用户达到最大session数后,则调用此处的实现



241a33e523325b4189dc268df99d6d00.png



  • 自定义SessionInformationExpiredStrategy实现类来定制策略
import com.fasterxml.jackson.databind.ObjectMapper;
import com.security.learn.handler.MyAuthenticationFailureHandler;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.web.session.SessionInformationExpiredEvent;
import org.springframework.security.web.session.SessionInformationExpiredStrategy;
import javax.servlet.ServletException;
import java.io.IOException;
public class MySessionInformationExpiredStrategy implements SessionInformationExpiredStrategy {
    //Jackson JSON数据处理类
    private  static ObjectMapper objectMapper = new ObjectMapper();
    @Autowired
    MyAuthenticationFailureHandler myAuthenticationFailureHandler;
    @Override
    public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException, ServletException {
        // 1. 获取用户名
        UserDetails userDetails =
                (UserDetails)event.getSessionInformation().getPrincipal();
        AuthenticationException exception =
                new AuthenticationServiceException(
                        String.format("[%s] 用户在另外一台电脑登录,您已被下线", userDetails.getUsername()));
        try {
            // 当用户在另外一台电脑登录后,交给失败处理器回到认证页面
            event.getRequest().setAttribute("toAuthentication" , true);
            myAuthenticationFailureHandler
                    .onAuthenticationFailure(event.getRequest(), event.getResponse(), exception);
        } catch (ServletException e) {
            e.printStackTrace();
        }
    }
}



  • 在com.security.learn.config.Myconfig类中注入SessionInformationExpiredStrategy
    @Bean
    @ConditionalOnMissingBean(SessionInformationExpiredStrategy.class)
    public SessionInformationExpiredStrategy informationExpiredStrategy(){
        return new MySessionInformationExpiredStrategy();
    }


测试:


  1. 谷歌浏览器用户名密码登录
  2. 再使用火狐浏览器用户名密码登录
  3. 回到谷歌浏览器刷新请求,发现回到登录页面,提示被下线


05d474b3b0187984f9ff35bbdd26d0ce.png

如果同一个用户在第二个地方登录,则不允许二次的登录

如果同一用户在第2个地方登录时,则不允许他二次登录。



实现步骤:

  1. 在 LearnSrpingSecurity添加 maxSessionsPreventsLogin(true) 后不允许二次登录,其实就是添加一个 .maxSessionsPreventsLogin(true)。
                .and()
                .sessionManagement()
                .invalidSessionStrategy(invalidSessionStrategy)
                .maximumSessions(1) 每个用户在系统中的最大session数
                .maxSessionsPreventsLogin(true)
                .expiredSessionStrategy(sessionInformationExpiredStrategy)// 当用户达到最大session数后,则调用此处的实现
                ;



测试:


  1. 谷歌浏览器用户名密码登录
  2. 再使用火狐浏览器用户名密码登录,发现不允许登录

解决同一用户的手机重复登录问题


使用了 admin 用户名登录后,还可以使用这个用户的手机号登录。正常应该是同一个用户,系统中只能用用户名或手机号登录一次。

解决问题:


原因是 SmsCodeAuthenticationFilter继承的类 AbstractAuthenticationProcessingFilter 中,默认使用了 NullAuthenticatedSessionStrategy 实例管理 Session,我们应该指定用户名密码过滤器中所使用的那个 SessionAuthenticationStrategy 实现类 CompositeSessionAuthenticationStrategy 。在com.security.learn.config.SmsCodeSecurityConfig指定即可解决:

@Component
public class SmsCodeSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {
    @Autowired
    @Qualifier("smsCodeUserDetailsService")
    private SmsCodeUserDetailsService smsCodeUserDetailsService;
    @Resource
    private SmsCodeValidateFilter  smsCodeValidateFilter;
    @Override
    public void configure(HttpSecurity http) throws Exception {
        //创建手机校验过滤器实例
        SmsCodeAuthenticationFilter smsCodeAuthenticationFilter = new SmsCodeAuthenticationFilter();
        //接收 AuthenticationManager 认证管理器
        smsCodeAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
        //处理成功handler
        //smsCodeAuthenticationFilter.setAuthenticationSuccessHandler(myAuthenticationSuccessHandler);
        //处理失败handler
        //smsCodeAuthenticationFilter.setAuthenticationFailureHandler(myAuthenticationFailureHandler);
        smsCodeAuthenticationFilter.setRememberMeServices(http.getSharedObject(RememberMeServices.class));
        smsCodeAuthenticationFilter.setSessionAuthenticationStrategy(http.getSharedObject(SessionAuthenticationStrategy.class));
        // 获取验证码提供者
        SmsCodeAuthenticationProvider smsCodeAuthenticationProvider = new SmsCodeAuthenticationProvider();
        smsCodeAuthenticationProvider.setUserDetailsService(smsCodeUserDetailsService);
        //在用户密码过滤器前面加入短信验证码校验过滤器
        http.addFilterBefore(smsCodeValidateFilter, UsernamePasswordAuthenticationFilter.class);
        //在用户密码过滤器后面加入短信验证码认证授权过滤器
        http.authenticationProvider(smsCodeAuthenticationProvider)
                .addFilterAfter(smsCodeAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
    }
}


405540e90882a8bd72c63a82aacbd3c6.png


退出系统

解决退出不允许再次登录


配置了 .maxSessionsPreventsLogin(true) 开启了前面已登录,不允许再重复登录上面默认情况,如果登录后,然后请求 /logout 退出,再重新登录时,会提示不能重复登录。

源码分析


每次登录请求都会执行 ConcurrentSessionControlAuthenticationStrategy#onAuthentication判断用户在系统是否已经存在 session了, 且判断是否已经超过限制的session数量了,超出则抛异常


原因是退出时,并没有将 SessionRegistryImpl.principals缓存用户信息进行删除


@Override
 public void onAuthentication(Authentication authentication, HttpServletRequest request,
   HttpServletResponse response) {
  int allowedSessions = getMaximumSessionsForThisUser(authentication);
  if (allowedSessions == -1) {
   // We permit unlimited logins
   return;
  }
  // 获取当前用户在系统中的所有 session
  List<SessionInformation> sessions = this.sessionRegistry.getAllSessions(authentication.getPrincipal(), false);
  int sessionCount = sessions.size();
  if (sessionCount < allowedSessions) {
   // 用户session总个数 小于 设置的最大session数 ,则直接通过
   return;
  }
        // 创建session
  if (sessionCount == allowedSessions) {
   HttpSession session = request.getSession(false);
   if (session != null) {
    // Only permit it though if this request is associated with one of the
    // already registered sessions
    for (SessionInformation si : sessions) {
     if (si.getSessionId().equals(session.getId())) {
      return;
     }
    }
   }
  }
        // 超出允许的 session 的个数 , maxSessionsPreventsLogin(true)抛出异常不让登录
  allowableSessionsExceeded(sessions, allowedSessions, this.sessionRegistry);
 }

解决方案

  • 在com.security.learn.config.Myconfig中注入SessionRegistry
    @Bean
    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl();
    }
  • 添加一个退出处理器com.security.learn.handler.MyLogoutHandler ,将用户信息从缓存中清

@Component
public class MyLogoutHandler implements LogoutHandler {
    @Autowired
    private SessionRegistry sessionRegistry;
    @Override
    public void logout(HttpServletRequest request,
                       HttpServletResponse response,
                       Authentication authentication) {
        // 退出之后 ,将对应session从缓存中清除 SessionRegistryImpl.principals
        sessionRegistry.removeSessionInformation(request.getSession().getId());
    }
}



SpringSecurityConfifig 注入 customLogoutHandler

自定义退出处理


在 com.security.learn.config.LearnSrpingSecurity注入MyLogoutHandler

    /**
     * 退出清除缓存
     */
    @Autowired
    private MyLogoutHandler myLogoutHandler;
    @Autowired
    private SessionRegistry sessionRegistry;
                .and().logout()
                .addLogoutHandler(myLogoutHandler)
                .logoutUrl("/logout")
                .logoutSuccessUrl("/login/page")
                .deleteCookies("JSESSIONID")

2257245d2829befe93c79cfdf5d9a66a.png

如果您觉得本文不错,欢迎关注,点赞,收藏支持,您的关注是我坚持的动力!
原创不易,转载请注明出处,感谢支持!如果本文对您有用,欢迎转发分享!

文章标签:
数据安全/隐私保护
缓存
1213z
目录
相关文章
念广隶
|
Java Spring 容器
解决Spring的UnsatisfiedDependencyException异常的方法
在Spring开发中,UnsatisfiedDependencyException异常意味着依赖注入失败,影响应用稳定性。该异常由Spring容器在无法满足bean依赖时抛出,常见原因包括bean定义错误、循环依赖、多个候选bean等。解决方法包括:检查bean定义和注入的正确性、解决循环依赖、确认依赖包的兼容性、使用@Qualifier或@Primary注解。通过日志、调试工具和异常对比来定位问题。持续学习Spring框架有助于更好地解决此类异常。
念广隶
9994 1
飞翔的佩奇
|
前端开发 Java 调度
springboot整合SSE技术开发经验总结及心得
springboot整合SSE技术开发经验总结及心得
飞翔的佩奇
3215 0
WanderInk-20107
|
10月前
|
安全 Java 数据安全/隐私保护
Spring Security: 深入解析 AuthenticationSuccessHandler
本文深入解析了 Spring Security 中的 `AuthenticationSuccessHandler` 接口,它用于处理用户认证成功后的逻辑。通过实现该接口,开发者可自定义页面跳转、日志记录等功能。文章详细讲解了接口方法参数及使用场景,并提供了一个根据用户角色动态跳转页面的示例。结合 Spring Security 配置,展示了如何注册自定义的成功处理器,帮助开发者灵活应对认证后的多样化需求。
WanderInk-20107
367 2
夜雨hiyeyu.com
|
7月前
|
监控 安全 NoSQL
【SpringBoot】OAuth 2.0 授权码模式 + JWT 令牌自动续签 的终极落地指南,包含 深度技术细节、生产环境配置、安全加固方案 和 全链路监控
【SpringBoot】OAuth 2.0 授权码模式 + JWT 令牌自动续签 的终极落地指南,包含 深度技术细节、生产环境配置、安全加固方案 和 全链路监控
夜雨hiyeyu.com
2698 1
星辰醉天河ii-25383
|
缓存 NoSQL Java
Spring Boot 3 整合 Spring Cache 与 Redis 缓存实战
Spring Boot 3 整合 Spring Cache 与 Redis 缓存实战
星辰醉天河ii-25383
6679 0
wljslmz
|
存储 安全 搜索推荐
深入理解 Session-Expire 头字段的作用
【8月更文挑战第24天】
wljslmz
358 0
WanderInk-20107
|
10月前
|
JSON 前端开发 Java
深入理解 Spring Boot 中日期时间格式化:@DateTimeFormat 与 @JsonFormat 完整实践
在 Spring Boot 开发中,处理前后端日期交互是一个常见问题。本文通过 **@DateTimeFormat** 和 **@JsonFormat** 两个注解,详细讲解了如何解析前端传来的日期字符串以及以指定格式返回日期数据。文章从实际案例出发,结合代码演示两者的使用场景与注意事项,解决解析失败、时区偏差等问题,并提供全局配置与局部注解的实践经验。帮助开发者高效应对日期时间格式化需求,提升开发效率。
WanderInk-20107
3071 2
hhzz
|
消息中间件 JSON Java
Spring Boot、Spring Cloud与Spring Cloud Alibaba版本对应关系
Spring Boot、Spring Cloud与Spring Cloud Alibaba版本对应关系
hhzz
32447 0
蓝易云
|
安全 搜索推荐 Java
SpringSecurity扩展用户身份信息(UserDetails)的方式
通过上述步骤,你就能在Spring Security中扩展 `UserDetails`,进而实现更加个性化和复杂的用户认证和授权机制。记住,在添加更多字段时,保持系统安全性的同时,也需要考虑到用户隐私的保护。
蓝易云
1508 1
程序员小海绵
|
负载均衡 Java Nacos
SpringCloud基础2——Nacos配置、Feign、Gateway
nacos配置管理、Feign远程调用、Gateway服务网关
程序员小海绵
5266 2
SpringCloud基础2——Nacos配置、Feign、Gateway