AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

springboot+springsecurity session配置管理

2022-04-02 742
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 在实际的使用过程中,用户会话的有效期以及管理也是很重要的部分。不同需求管理方式也不一样。本文就是根据我在项目中的使用而总结的经验,可能并不全面,但会以最直接的方式展示,也方便快速上手。同时也展示出前后端分离前后的配置,差别仅是路径和拦截而已。

一、前述

首先,介绍几种场景,读者可对号入座。
1)、默认登录的会话到期后直接跳转到登录页,再次登录后进行操作。
2)、同一账户限制同时登录用户数量,达到后踢掉之前登录的用户
3)、同一账户限制同时登录用户数量,达到不允许新的用户登录

二、场景

2.1、默认会话到期处理

一般情况下,在用户无任何操作30分钟后会话会默认到期。此时,则需要用户重新登录才可以进行相应操作。

.sessionManagement()//session到期提示
    .invalidSessionUrl("/login")//分离前通过此配置跳转登录页进行登录
    .invalidSessionStrategy(mMyAuthenctiationInvalidSessionStrategy)//session到期拦截并返回相应信息

上述代码中拦截处理部分mMyAuthenctiationInvalidSessionStrategy的代码:

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.web.session.InvalidSessionStrategy;
import org.springframework.stereotype.Component;

import net.cnki.common.msgreturn.ResultCode;
import net.cnki.common.msgreturn.ResultGenerator;


/**
 * session到期
 * @author ZhiPengyu
 *
 */
@Component
public class MyAuthenctiationInvalidSessionStrategy implements InvalidSessionStrategy{
    private Logger logger = LoggerFactory.getLogger(this.getClass());

    @Autowired
    ResultGenerator resultGenerator;
    
    @Override
    public void onInvalidSessionDetected(HttpServletRequest request, HttpServletResponse response)
            throws IOException, ServletException {
        logger.info("session到期!");
        
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().write(resultGenerator.getFreeResult(ResultCode.SESSION_EXPIRES).toString());
        
    }
    

}

2.2、达到会话限制数量踢掉之前登陆用户

此时分离前后都一样的配置。但是需要注意实现的接口SessionInformationExpiredStrategy,与到期不同。

http.sessionManagement().maximumSessions(1).expiredSessionStrategy(myAuthenctiationSessionStrategy);//会话管理:用户仅允许一个登陆,踢出旧的登录

上面配置完session之后,下边是实现接口拦截。

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.web.session.SessionInformationExpiredEvent;
import org.springframework.security.web.session.SessionInformationExpiredStrategy;
import org.springframework.stereotype.Component;

import net.cnki.common.msgreturn.ResultCode;
import net.cnki.common.msgreturn.ResultGenerator;

/**
 * 已被其他用户登录
 * @author ZhiPengyu
 *
 */
@Component
public class MyAuthenctiationSessionInformationExpiredStrategy implements SessionInformationExpiredStrategy{
    private Logger logger = LoggerFactory.getLogger(this.getClass());

    @Autowired
    ResultGenerator resultGenerator;
    
    @Override
    public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException, ServletException {
        // TODO Auto-generated method stub
        logger.info("已被其他用户登录!");
        
        HttpServletResponse response = event.getResponse();
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().print(resultGenerator.getFreeResult(ResultCode.SESSION_EXPIRES_OTHER_LOGIN).toString());
        response.flushBuffer();    
    }

}

2.3、达到会话限制数量不允许新用户登陆

此处则不需要拦截,会返回对应的状态以及信息。但是值得注意的是,需要将HttpSessionEventPublisher加入spring容器中。否则会出现当以登录的用户退出后在登陆也会被阻止的情况。此处需要讲到源码的实现,不多解释,简单说是因为监听不在容器,所以监听不到容器中的session状态。

http.sessionManagement().maximumSessions(1).maxSessionsPreventsLogin(true);//只允许一个登陆,不允许新的登录

同时在WebSecurityConfig配置类中添加如下即可:(springboot利用@Configuration注解在配置类加@Bean不多说了)

@Bean
public HttpSessionEventPublisher httpSessionEventPublisher() {
    return new HttpSessionEventPublisher();
}

当新用户登陆时,会返回401,并提示已经达到最大值。登录失败

{
"code": "401",
"message": "Maximum sessions of 1 for this principal exceeded"
}

三、总结

session的情况多种多样,security的功能还是很强大的,我所遇到的情况也并不多。

文章标签:
Java
容器
Spring
安全
关键词:
Spring Boot springsecurity
Spring Boot配置管理
Spring Boot session
springboot springsecurity
陌然浅笑-支
目录
相关文章
醉鱼Java
|
4月前
|
存储 安全 Java
SpringBoot搭建Spring Security 入门
SpringBoot搭建Spring Security 入门
醉鱼Java
144 0
hhzz
|
4月前
|
存储 安全 Java
Spring Boot整合Spring Security--学习笔记
Spring Boot整合Spring Security--学习笔记
hhzz
93 1
小z1
|
4月前
|
缓存 前端开发 Java
【二十八】springboot之通过threadLocal+参数解析器实现同session一样保存当前登录信息的功能
【二十八】springboot之通过threadLocal+参数解析器实现同session一样保存当前登录信息的功能
小z1
155 1
迪曼奥特迦
|
4月前
|
前端开发 安全 Java
SpringBoot 实现登录验证码(附集成SpringSecurity)
SpringBoot 实现登录验证码(附集成SpringSecurity)
迪曼奥特迦
286 0
程序三两行
|
4月前
|
安全 数据安全/隐私保护
Springboot+Spring security +jwt认证+动态授权
Springboot+Spring security +jwt认证+动态授权
程序三两行
178 0
VipSoft
|
1月前
|
NoSQL 关系型数据库 MySQL
SpringBoot 集成 SpringSecurity + MySQL + JWT 附源码,废话不多直接盘
SpringBoot 集成 SpringSecurity + MySQL + JWT 附源码,废话不多直接盘
VipSoft
76 2
Yaiba123
|
1月前
|
安全 Java 数据安全/隐私保护
基于SpringBoot+Spring Security+Jpa的校园图书管理系统
本文介绍了一个基于SpringBoot、Spring Security和JPA开发的校园图书管理系统,包括系统的核心控制器`LoginController`的代码实现,该控制器处理用户登录、注销、密码更新、角色管理等功能,并提供了系统初始化测试数据的方法。
Yaiba123
31 0
基于SpringBoot+Spring Security+Jpa的校园图书管理系统
如夜了我衣衫太薄便归家靠路灯
|
1月前
|
安全 Java 数据库
springboot 整合 spring security,实现用户鉴权
springboot 整合 spring security,实现用户鉴权
如夜了我衣衫太薄便归家靠路灯
48 2
如夜了我衣衫太薄便归家靠路灯
|
1月前
|
JSON 安全 Java
springboot 整合 spring security,自定义登录接口
springboot 整合 spring security,自定义登录接口
如夜了我衣衫太薄便归家靠路灯
102 1
理想shi做条咸鱼
|
1月前
|
Java 关系型数据库 MySQL
Spring Boot事务配置管理
主要总结了 Spring Boot 中如何使用事务,只要使用 @Transactional 注解即可使用,非常简单方便。除此之外,重点总结了三个在实际项目中可能遇到的坑点,这非常有意义,因为事务这东西不出问题还好,出了问题比较难以排查,所以总结的这三点注意事项,希望能帮助到开发中的朋友。
理想shi做条咸鱼
37 2

热门文章

最新文章

  • 1
    通过JMX监控Spring Boot应用
  • 2
    Spring框架(SpringBoot)中redis报错(Could not get a resource from the pool、java.net.SocketTimeoutException)
  • 3
    springboot+druid+mybatis plus的多数据源配置
  • 4
    SpringBoot开发案例之整合Dubbo提供者(一)
  • 5
    SpringBoot前后端分离项目,打包、部署到服务器详细图文流程
  • 6
    Spring Boot 中文乱码问题解决方案汇总
  • 7
    基于SpringBoot的文件在线预览神器,支持99%的文件在线预览
  • 8
    Springboot多模块配置详细教程+源码案例+所遇到的坑
  • 9
    SpringBoot项目提示:Cannot resolve symbol 'RestController'
  • 10
    Spring Boot 的 HTTP 客户端框架
  • 1
    spring cache整合redis实现springboot项目中的缓存功能
    96
  • 2
    Spring Boot 和 Vue.js 实现的前后端分离的用户权限管理系统
    143
  • 3
    Spring Boot中的bean注入方式和原理
    500
  • 4
    springboot中的第二个IOC容器BootstrapContext
    104
  • 5
    springboot使用html模版导出pdf文档
    550
  • 6
    springboot集成knife4j接口文档
    114
  • 7
    springboot - 条件注解@ConditionalOnClass原理
    75
  • 8
    SpringBoot启动后出现Please sign in页面
    236
  • 9
    Spring Boot的定时任务与异步任务
    102
  • 10
    SpringBoot整合Mybatis连接Oracle数据库
    329

    • 相关课程

    更多
  • 微服务+全栈在线教育实战项目演练(SpringCloud Alibaba+SpringBoot)
  • SpringBoot实战教程
  • SpringBoot快速掌握 - 核心技术
  • SpringBoot快速掌握 - 高级应用
  • Springboot项目云开发快速迁移
  • 5天突破Spring Cloud

    • 相关电子书

    更多
  • Java Spring Boot开发实战系列课程【第15讲】:Spring Boot 2.0 API与Spring REST Docs实战
  • Java Spring Boot开发实战系列课程【第7讲】:Spring Boot 2.0安全机制与MVC身份验证实战(Java面试题)
  • 陈曦:使用Spring.Initializr定制工程脚手架

    • 相关实验场景

    更多
  • Spring-cloud-bus-rocketmq入门与实践
  • Spring-cloud-stream-binder-rocketmq入门与实践
  • 从零搭建Spring Boot的Hello World
    • 下一篇
    基于LNMP搭建WordPress