AI 助理
备案控制台
开发者社区 安全 文章 正文

SpringSecurity-11-只允许一个用户登录

2023-08-30 390
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: SpringSecurity-11-只允许一个用户登录

SpringSecurity-11-只允许一个用户登录


本次给你介绍只允许用户在一个地方登录,也就是说每个用户只允许有一个Session。他有两种场景

  • 如果同一个用户在第二个地方登录,则将第一个登录下线
  • 如果同一个用户在第二个地方登录,则不允许二次的登录



同一个用户在第二个地方登录,则将第一个登录退出

具体步骤如下:

  1. 重构com.security.learn.config.LearnSrpingSecurity的configure(HttpSecurity http)方法
     @Autowired
    private SessionInformationExpiredStrategy sessionInformationExpiredStrategy;
            .and()
                .sessionManagement()
                .invalidSessionStrategy(invalidSessionStrategy)
                .maximumSessions(1) 每个用户在系统中的最大session数
               // .maxSessionsPreventsLogin(true)
                .expiredSessionStrategy(sessionInformationExpiredStrategy)// 当用户达到最大session数后,则调用此处的实现



241a33e523325b4189dc268df99d6d00.png



  • 自定义SessionInformationExpiredStrategy实现类来定制策略
import com.fasterxml.jackson.databind.ObjectMapper;
import com.security.learn.handler.MyAuthenticationFailureHandler;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.web.session.SessionInformationExpiredEvent;
import org.springframework.security.web.session.SessionInformationExpiredStrategy;
import javax.servlet.ServletException;
import java.io.IOException;
public class MySessionInformationExpiredStrategy implements SessionInformationExpiredStrategy {
    //Jackson JSON数据处理类
    private  static ObjectMapper objectMapper = new ObjectMapper();
    @Autowired
    MyAuthenticationFailureHandler myAuthenticationFailureHandler;
    @Override
    public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException, ServletException {
        // 1. 获取用户名
        UserDetails userDetails =
                (UserDetails)event.getSessionInformation().getPrincipal();
        AuthenticationException exception =
                new AuthenticationServiceException(
                        String.format("[%s] 用户在另外一台电脑登录,您已被下线", userDetails.getUsername()));
        try {
            // 当用户在另外一台电脑登录后,交给失败处理器回到认证页面
            event.getRequest().setAttribute("toAuthentication" , true);
            myAuthenticationFailureHandler
                    .onAuthenticationFailure(event.getRequest(), event.getResponse(), exception);
        } catch (ServletException e) {
            e.printStackTrace();
        }
    }
}



  • 在com.security.learn.config.Myconfig类中注入SessionInformationExpiredStrategy
    @Bean
    @ConditionalOnMissingBean(SessionInformationExpiredStrategy.class)
    public SessionInformationExpiredStrategy informationExpiredStrategy(){
        return new MySessionInformationExpiredStrategy();
    }


测试:


  1. 谷歌浏览器用户名密码登录
  2. 再使用火狐浏览器用户名密码登录
  3. 回到谷歌浏览器刷新请求,发现回到登录页面,提示被下线


05d474b3b0187984f9ff35bbdd26d0ce.png

如果同一个用户在第二个地方登录,则不允许二次的登录

如果同一用户在第2个地方登录时,则不允许他二次登录。



实现步骤:

  1. 在 LearnSrpingSecurity添加 maxSessionsPreventsLogin(true) 后不允许二次登录,其实就是添加一个 .maxSessionsPreventsLogin(true)。
                .and()
                .sessionManagement()
                .invalidSessionStrategy(invalidSessionStrategy)
                .maximumSessions(1) 每个用户在系统中的最大session数
                .maxSessionsPreventsLogin(true)
                .expiredSessionStrategy(sessionInformationExpiredStrategy)// 当用户达到最大session数后,则调用此处的实现
                ;



测试:


  1. 谷歌浏览器用户名密码登录
  2. 再使用火狐浏览器用户名密码登录,发现不允许登录

解决同一用户的手机重复登录问题


使用了 admin 用户名登录后,还可以使用这个用户的手机号登录。正常应该是同一个用户,系统中只能用用户名或手机号登录一次。

解决问题:


原因是 SmsCodeAuthenticationFilter继承的类 AbstractAuthenticationProcessingFilter 中,默认使用了 NullAuthenticatedSessionStrategy 实例管理 Session,我们应该指定用户名密码过滤器中所使用的那个 SessionAuthenticationStrategy 实现类 CompositeSessionAuthenticationStrategy 。在com.security.learn.config.SmsCodeSecurityConfig指定即可解决:

@Component
public class SmsCodeSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {
    @Autowired
    @Qualifier("smsCodeUserDetailsService")
    private SmsCodeUserDetailsService smsCodeUserDetailsService;
    @Resource
    private SmsCodeValidateFilter  smsCodeValidateFilter;
    @Override
    public void configure(HttpSecurity http) throws Exception {
        //创建手机校验过滤器实例
        SmsCodeAuthenticationFilter smsCodeAuthenticationFilter = new SmsCodeAuthenticationFilter();
        //接收 AuthenticationManager 认证管理器
        smsCodeAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
        //处理成功handler
        //smsCodeAuthenticationFilter.setAuthenticationSuccessHandler(myAuthenticationSuccessHandler);
        //处理失败handler
        //smsCodeAuthenticationFilter.setAuthenticationFailureHandler(myAuthenticationFailureHandler);
        smsCodeAuthenticationFilter.setRememberMeServices(http.getSharedObject(RememberMeServices.class));
        smsCodeAuthenticationFilter.setSessionAuthenticationStrategy(http.getSharedObject(SessionAuthenticationStrategy.class));
        // 获取验证码提供者
        SmsCodeAuthenticationProvider smsCodeAuthenticationProvider = new SmsCodeAuthenticationProvider();
        smsCodeAuthenticationProvider.setUserDetailsService(smsCodeUserDetailsService);
        //在用户密码过滤器前面加入短信验证码校验过滤器
        http.addFilterBefore(smsCodeValidateFilter, UsernamePasswordAuthenticationFilter.class);
        //在用户密码过滤器后面加入短信验证码认证授权过滤器
        http.authenticationProvider(smsCodeAuthenticationProvider)
                .addFilterAfter(smsCodeAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
    }
}


405540e90882a8bd72c63a82aacbd3c6.png


退出系统

解决退出不允许再次登录


配置了 .maxSessionsPreventsLogin(true) 开启了前面已登录,不允许再重复登录上面默认情况,如果登录后,然后请求 /logout 退出,再重新登录时,会提示不能重复登录。

源码分析


每次登录请求都会执行 ConcurrentSessionControlAuthenticationStrategy#onAuthentication判断用户在系统是否已经存在 session了, 且判断是否已经超过限制的session数量了,超出则抛异常


原因是退出时,并没有将 SessionRegistryImpl.principals缓存用户信息进行删除


@Override
 public void onAuthentication(Authentication authentication, HttpServletRequest request,
   HttpServletResponse response) {
  int allowedSessions = getMaximumSessionsForThisUser(authentication);
  if (allowedSessions == -1) {
   // We permit unlimited logins
   return;
  }
  // 获取当前用户在系统中的所有 session
  List<SessionInformation> sessions = this.sessionRegistry.getAllSessions(authentication.getPrincipal(), false);
  int sessionCount = sessions.size();
  if (sessionCount < allowedSessions) {
   // 用户session总个数 小于 设置的最大session数 ,则直接通过
   return;
  }
        // 创建session
  if (sessionCount == allowedSessions) {
   HttpSession session = request.getSession(false);
   if (session != null) {
    // Only permit it though if this request is associated with one of the
    // already registered sessions
    for (SessionInformation si : sessions) {
     if (si.getSessionId().equals(session.getId())) {
      return;
     }
    }
   }
  }
        // 超出允许的 session 的个数 , maxSessionsPreventsLogin(true)抛出异常不让登录
  allowableSessionsExceeded(sessions, allowedSessions, this.sessionRegistry);
 }

解决方案

  • 在com.security.learn.config.Myconfig中注入SessionRegistry
    @Bean
    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl();
    }
  • 添加一个退出处理器com.security.learn.handler.MyLogoutHandler ,将用户信息从缓存中清

@Component
public class MyLogoutHandler implements LogoutHandler {
    @Autowired
    private SessionRegistry sessionRegistry;
    @Override
    public void logout(HttpServletRequest request,
                       HttpServletResponse response,
                       Authentication authentication) {
        // 退出之后 ,将对应session从缓存中清除 SessionRegistryImpl.principals
        sessionRegistry.removeSessionInformation(request.getSession().getId());
    }
}



SpringSecurityConfifig 注入 customLogoutHandler

自定义退出处理


在 com.security.learn.config.LearnSrpingSecurity注入MyLogoutHandler

    /**
     * 退出清除缓存
     */
    @Autowired
    private MyLogoutHandler myLogoutHandler;
    @Autowired
    private SessionRegistry sessionRegistry;
                .and().logout()
                .addLogoutHandler(myLogoutHandler)
                .logoutUrl("/logout")
                .logoutSuccessUrl("/login/page")
                .deleteCookies("JSESSIONID")

2257245d2829befe93c79cfdf5d9a66a.png

如果您觉得本文不错,欢迎关注,点赞,收藏支持,您的关注是我坚持的动力!
原创不易,转载请注明出处,感谢支持!如果本文对您有用,欢迎转发分享!

文章标签:
数据安全/隐私保护
缓存
1213z
目录
相关文章
Rayce.
|
存储 安全 前端开发
详解SpringSecurity认证(下)
详解SpringSecurity认证(下)
Rayce.
104 0
陶然同学
|
3月前
【SpringSecurity 】SpringSecurity 自定义登录页面
【SpringSecurity 】SpringSecurity 自定义登录页面
陶然同学
39 0
陶然同学
|
3月前
|
安全 搜索推荐 Java
【SpringSecurity6.x】会话管理
【SpringSecurity6.x】会话管理
陶然同学
53 0
1213z
|
12月前
|
安全 搜索推荐 Java
SpringSecurity-8-自动登录和注销功能实现
当我们在登录某一个网站的时候,我们会使用账号密码进行登录,但是我们不想每一次关闭浏览器,我们不想每一次重新输入账号和密码,贴合用户的登录体验,给用户带来方便,我们使用自动登录功能,将登录信息保存在浏览器的cookie中,这样用户在下次访问的时候,自动实现校验并新建登录状态。但是这样也会给用户带来信息泄露的危险。
1213z
111 0
Rayce.
|
安全 前端开发 Java
详解SpringSecurity认证(上)
详解SpringSecurity认证(上)
Rayce.
122 0
Heron
|
存储 安全 Java
SpringSecurity基础-简单登录实现
1.SpringSecurity介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Heron
81 0
游客ig3oyhuxp5p5q
|
存储 安全 Java
二.SpringSecurity基础-简单登录实现
SpringSecurity基础-简单登录实现
游客ig3oyhuxp5p5q
115 0
@猪大肠
|
安全 Java Apache
Springboot整合shiro:实现用户登录和权限验证
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录;
@猪大肠
143 0
SuperProgMan.SYJ
|
前端开发 安全 Java
SpringSecurity权限控制和注销
SpringSecurity权限控制和注销
SuperProgMan.SYJ
130 0
HeartSuit
|
存储 前端开发 安全
9-SpringSecurity:登录时的图片验证码
9-SpringSecurity:登录时的图片验证码
HeartSuit
112 0
9-SpringSecurity:登录时的图片验证码