当一个用户已经登录了系统,但是另一个用户使用相同的账号登录时,为了安全起见,一般需要自动踢掉前一个用户。Spring Security 为开发者提供了一些较为方便且易于理解的方式来实现这个功能。
- 基于SessionRegistry来实现
Spring Security提供了SessionRegistry来帮助我们管理用户的Session,我们可以使用这个类来获取在线的Session列表,从而对用户的登录状态进行管理。下面我们就来看一下如何使用这个类来实现自动踢掉前一个登录用户。
- 添加依赖
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>5.5.0</version>
</dependency>
- 在Spring Security的配置类中添加如下的bean
@Bean
public SessionRegistry sessionRegistry() {
return new SessionRegistryImpl();
}
- 实现HttpSessionEventPublisher,在登录成功后将当前用户的SessionID加入到SessionRegistry中
@Service
public class HttpSessionEventPublisherImpl extends HttpSessionEventPublisher {
@Autowired
private SessionRegistry sessionRegistry;
@Override
public void sessionCreated(HttpSessionEvent event) {
super.sessionCreated(event);
}
@Override
public void sessionDestroyed(HttpSessionEvent event) {
String sessionId = event.getSession().getId();
sessionRegistry.removeSessionInformation(sessionId);
super.sessionDestroyed(event);
}
}
- 在拦截器中实现自动踢掉前一个登录用户功能
public class SessionControlInterceptor extends HandlerInterceptorAdapter {
@Autowired
private SessionRegistry sessionRegistry;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if (principal instanceof UserDetails) {
UserDetails userDetails = (UserDetails) principal;
List<SessionInformation> sessions = sessionRegistry.getAllSessions(userDetails, false);
if (CollectionUtils.isNotEmpty(sessions)) {
for (SessionInformation session : sessions) {
if (!session.getSessionId().equals(request.getSession().getId())) {
session.expireNow();
}
}
}
}
return super.preHandle(request, response, handler);
}
}
- 基于ConcurrentSessionControlStrategy实现
Spring Security 3.1版本之后,提供了一个名为ConcurrentSessionControlStrategy的类,它可以帮助我们实现“同一账号只能在一个地方登录”的功能,我们只需要将其中的maximumSessions设置为1即可。
http.sessionManagement().maximumSessions(1)
.sessionRegistry(sessionRegistry())
.expiredUrl("/login?expired");
这个实现方式几乎不需要做额外的工作,只需要一个配置就可以了。当一个用户已经登录了系统,再次登录时,前一个用户会被自动踢掉。
以上就是两种实现自动踢掉前一个登录用户功能的方式。如果你需要实现类似的功能,可以根据自己的情况选择其中一种方式进行实现。
本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:Spring Security 自动踢掉前一个登录用户的实现代码 - Python技术站
微信扫一扫 
支付宝扫一扫 