Springboot+shiro 踢出SessionId

最新推荐文章于 2025-07-16 14:14:17 发布
原创 最新推荐文章于 2025-07-16 14:14:17 发布 · 2.4k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种在线用户踢出机制的设计与实现方法,通过利用sessionId进行用户状态管理,结合Redis存储技术,确保被踢出的用户能及时接收到状态更新,并在重新登录时恢复正常状态。

运用场景 : 管理员踢出在线用户,让其页面失效。重登即可激活

思路:

1.利用sessionId ,如果踢出 将其标记为 0,重定向到 踢出页面

2.在登录的时候,将sessionId 标记为1,表示 已激活 可以正常使用

3.将 sessionId 和值,存入redis hash表里面,每次比较 从redis 中取出

4.利用  HandlerInterceptorAdapter 拦截器,注:该拦截器 内 可使用@Autowired注入, 比较方便

 

// 继承 HandlerInterceptorAdapter

package com.example.springboot.shiro.core.shiro.filter;


import org.apache.shiro.SecurityUtils;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import redis.clients.jedis.Jedis;
import redis.clients.jedis.JedisPool;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


public class SessionControlInterceptor extends HandlerInterceptorAdapter {
    @Autowired
    private JedisPool jedisPool;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Subject subject = SecurityUtils.getSubject();
        //如果没有登录,直接返回true
        if (!subject.isAuthenticated()) {
            return true;
        }
        Jedis jedis = null;
        String sessionidVal = null;
        try {
            String sessionId = request.getSession().getId();
            jedis = jedisPool.getResource();
            sessionidVal = jedis.hget("sessionIdMap", sessionId);
            System.err.println("在redis中 取出 sessionIdMap 表 中的值 ");
            if (sessionidVal.equals("0")) {

                WebUtils.issueRedirect(request, response, "kickout");
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            if (jedis != null) {
                jedis.close();
            }
        }
        return Boolean.TRUE;
    }

}

//配置 HandlerInterceptorAdapter

package com.example.springboot.shiro.core.shiro.config;

import com.example.springboot.shiro.core.shiro.filter.SessionControlInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

/**
 * SessionId 踢出 | HandlerInterceptorAdapter  配置
 */
@Configuration

public class WebSecurityConfig extends WebMvcConfigurerAdapter {
    @Bean
    public SessionControlInterceptor getSessionControlInterceptorFilter(){
        return  new SessionControlInterceptor();
    }
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        InterceptorRegistration addInterceptor = registry.addInterceptor(getSessionControlInterceptorFilter());

        // 排除配置
        addInterceptor.excludePathPatterns("/unauthorized");
        addInterceptor.excludePathPatterns("/login**");

        // 拦截配置
        addInterceptor.addPathPatterns("/index");
        addInterceptor.addPathPatterns("/list");
        addInterceptor.addPathPatterns("/online");
        addInterceptor.addPathPatterns("/role");
        addInterceptor.addPathPatterns("/Roleassignment");
        addInterceptor.addPathPatterns("/permissionlist");
        addInterceptor.addPathPatterns("/PermissionAssignment");

    }
}

 //在登录方法前设置 sessionId 值为1

    //认证通过后 把登录的用户状态 标记 为 1 激活
            redisUtils.setSessionIdMapHash(sessionId);


// 激活方法

  public void setSessionIdMapHash(String sessionId) {
        Jedis jedis = null;
        try {

            jedis = jedisPool.getResource();
            jedis.hset("sessionIdMap", sessionId, "1");
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            if (jedis != null) {
                jedis.close();
            }
        }

    }

 

整合SpringBoot+Shiro+Redis之完整案例,包括重写cache、cacheManager、SessionDAO
zkcJava的博客
09-08 1886
一个简单的ShiroDemo一、创建springboot工程,导入依赖二、yml文件配置三、根据MP插件生成mapper,entity,service,impl,mapper.xml3.1 User类1. User实体2. UserService3. UserServiceImpl4. UserMapper5. UserMapper.xml3.2 Role类1. Role实体2. RoleService3. RoleServiceImpl4. RoleMapper5. RoleMapper.xml3.3 P
SpringBoot+Shiro学习之自定义拦截器管理在线用户(踢出用户)
qq_20954959的博客
03-05 1万+
应用场景 我们经常会有用到,当A 用户在北京登录 ,然后A用户在天津再登录 ,要踢出北京登录的状态。如果用户在北京重新登录,那么又要踢出天津的用户,这样反复。又或是需要限制同一用户的同时在线数量,超出限制后,踢出最先登录的或是踢出最后登录的。 第一个场景踢出用户是由用户触发的,有时候需要手动将某个在线用户踢出,也就是对当前在线用户的列表进行管理。 ··························
shiro+springboot自定义sessionId
袖卷笛音的博客
07-03 7509
shiro中,默认返回的sessionId是uuid或者是random随机的,我们可能需要根据我们的需求进行重写,需要重写sessionId我们只需要写一个类实现SessionIdGenerator中的generateId就行 1.自定义sessionId生成 自定义CustomSessionIdGenerator实现SessionIdGenerator接口,重写generateId(...
Springboot中的Shiro框架
最新发布
m0_58680378的博客
07-16 1317
** doGetAuthorizationInfo:权限校验* 获取用户权限信息*/@Override/** doGetAuthenticationInfo:认证校验*/@Override认证和授权的过程通常需要把这两个方法实现就可以。
Spring Boot + shiro 去除Redis缓存
雨陆聪辰的博客
10-20 1836
Spring Boot + shiro 去除Redis缓存
springboot+redis+session相同用户只能登陆一次,前者会被挤下线(类似QQ)
bobo_supper的博客
03-03 3102
1.springbootWeb项目 引包 <!--redis--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> .
springboot shiro session互踢功能,一个用户只能一处浏览器登录
风兮雨露的博客
07-03 6060
说明:一个相同的账号在第一个浏览器登陆成功后,当在第二浏览器登陆成功后,第一个浏览器登陆的用户就会被踢出,无法进行操作。 主要是配置EhCache缓存器来缓存sission 1、shiro 配置Javabean,ShiroConfiguration.java import java.util.LinkedHashMap; import java.util.Map; import or...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不...
微信小程序+springboot+shiro实现登录
zhang8907xiaoyue的博客
05-03 4122
一、自定义WxRealm,继承自AuthorizingRealm package com.ruoyi.framework.shiro.realm; import com.ruoyi.customer.domain.CustomerInfo; import com.ruoyi.customer.domain.CustomerLoginLog; import com.ruoyi.customer...
SpringBoot+Shiro实现免密登录个realm)
wmy_0707的博客
06-09 2069
业务需求:因目前系统已经集成shiro根据用户名和密码加盐加密后校验用户登录信息功能的前提下需要集成第三方单点登陆功能。根据业务需求校验通过单点登陆后进入该项目的时候通过用户名实现免密登陆。 思路:原始已完成了用户名密码登陆功能,并自定义了AuthorizingRealm实现doGetAuthenticationInfo、doGetAuthorizationInfo登陆验证和授权功能。新的...
SpringBoot配置Redis实现session共享
qq_33422712的博客
10-08 694
1.引入依赖 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-data-redis&lt;/artifactId&gt; &lt;/dependency&gt; &lt;dependency&gt; &
spring boot + shiro 实现登陆 踢出用户功能 (挤人) 以及UnknownSessionException异常问题 记住我功能
AmbroseLe
12-23 8262
简介:踢出用户功能:就是限制一个账号登陆人数。 本文限定一个账号一个用户登陆,并且是挤掉前一个用户 目录 首先 pom 然后Shiro配置Bean ShiroConfigBean 然后配置 ShiroRealm(百度翻译: Realm 领域) 然后sessiondao SessionDAO 然后 配置踢人(挤人)逻辑 Kicko...
Shiro】7、Shiro实现控制用户并发登录并踢人下线
热门推荐
Asurplus
05-22 20万+
在传统的项目中,同一账户是允许人同时登录在线的,有的使用场景恰恰是不允许人同时在线的,那么我们可以通过 Shiro 来控制并发登录,并实现后登录的用户,挤掉前面登录的用户 1、并发登录过滤器 package com.asurplus.common.shiro; import com.asurplus.system.entity.SysUserInfo; import org.apache.shiro.SecurityUtils; import org.apache.shiro.cache.Cach
spring boot apache shiro 获取在线用户和踢出用户
eriz程序之路
12-26 1万+
技术交流群:365814763 spring boot shiro 获取在线用户和踢出用户! shiro工作图: 介绍: subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。 securityManager:安全管理器,主体进行认证和授权都 是通过securityManager进行。它包含下面的认证器和授权器。 authenticator:认...
springboot整合shiro+redis单点登录-登录踢人-未认证请求返回JSON数据
c_z_z的博客
05-06 1230
目录核心依赖返回结果实体类用户信息实体类实现realm未认证的请求返回JSON数据实现登录和踢人实现被踢shiro的配置类结尾 需要实现的功能如题,本文将分块记录每一个关键环节。 闲言少叙,直接上干货↓↓ 核心依赖 这个shiro-all看上去有点非主流,但是在maven库中确实是存在的,不想麻烦的直接依赖这个就行了 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>
springboot+shiro实现登录人数控制
weixin_45541795的博客
10-29 901
今天又是美好的一天,好了,不逼逼。今天内容有点,咱们抓紧时间。 好,咱们来讲讲如何写springboot+shiro 实现登陆人数控制 来,咱们直接看代码 conrtoller:咱们就是一个正常登陆,没什么区别 Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username,password); System.ou
Shiro实现session限制登录数量踢人下线
bbq烤鸡的后宫
11-10 2208
Shiro实现session限制登录数量踢人下线前言实现■ 架构准备■ 架构准备 前言 近年无状态登录兴起,但session方式仍是主流方案,借用类似redis集群等方案存储session信息使得它也足以跟上微服务的浪潮。相对来说session方式更具有服务端控制感,而无状态登录要想实现服务端控制就得存储些东西,这么一来无状态就得打上一个问号。本文记录的是shiro采用session作为登录方案时,对用户进行限制数量登录,以及剔除下线。 实现 ■ 架构准备 首先搭接好基于sessionshiro框架登录
springBoot+shiro缓存session
01-20
### 实现Spring Boot Shiro Session缓存 #### 使用Ehcache作为Session缓存机制 为了使Shiro能够利用Ehcache来存储会话数据,需先引入必要的依赖项到`pom.xml`文件中: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>${shiro.version}</version> </dependency> <!-- EhCache --> <dependency> <groupId>net.sf.ehcache</groupId> <artifactId>ehcache-core</artifactId> <version>${ehcache.version}</version> </dependency> ``` 接着定义一个名为`ShiroEhcacheManager.java`的Java类用于初始化Ehcache实例并将其注册给Shiro环境。 ```java import org.apache.shiro.cache.CacheManager; import org.apache.shiro.cache.ehcache.EhCacheManager; @Configuration public class ShiroEhcacheManager { @Bean(name="cacheManager") public CacheManager getCacheManager(){ EhCacheManager em = new EhCacheManager(); em.setCacheManagerConfigFile("classpath:ehcache-shiro.xml"); return em; } } ``` 上述代码片段展示了如何配置Ehcache成为默认的缓存提供者[^2]。注意这里指定了外部化的EHCache配置文件路径以便更灵活地调整缓存策略参数。 对于具体的Ehcache配置(`ehcache-shiro.xml`),可以根据实际需求定制化设置不同的缓存区域及其过期策略等特性。 --- #### 结合Redis实现分布式环境下的一致性Session管理 当应用程序部署于节点集群架构下时,则推荐采用Redis替代本地内存或单机版Ehcache来进行跨服务器间共享同一份实时更新后的用户登录状态副本。此时除了继续保留原有的Shiro核心功能外还需要额外增加如下几处改动: 1. **添加Maven坐标** 同样编辑项目根目录下的`pom.xml`文档追加对lettuce驱动的支持以连接远程Redis服务端口监听地址; ```xml <!-- Redis Client Library --> <dependency> <groupId>io.lettuce.core</groupId> <artifactId>lettuce-core</artifactId> <version>${redis.version}</version> </dependency> <!-- Enable Spring Data Redis support --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> ``` 2. **编写自定义SessionDAO继承DefaultWebSessionDao** 创建一个新的子类重写其中部分方法从而允许我们将原本保存至JVM堆内的对象序列化后持久化入指定key-value store之中去。 ```java import java.io.Serializable; import javax.annotation.Resource; import org.apache.shiro.session.Session; import org.apache.shiro.session.mgt.ValidatingSession; import org.apache.shiro.session.mgt.eis.CachingSessionDAO; import org.springframework.data.redis.connection.RedisConnection; import org.springframework.data.redis.core.RedisCallback; import org.springframework.data.redis.serializer.StringRedisSerializer; ... /** * Customized implementation of {@link CachingSessionDAO} that stores sessions into a distributed cache. */ public final class RedisSessionDAO extends AbstractValidatingSessionDAO implements Serializable { private static final long serialVersionUID = 793480567L; private String keyPrefix = "shiro_redis_session:"; ... protected void doUpdate(Session session){ // Update the corresponding entry within external storage system... } protected void doDelete(Session session){ // Remove expired entries from persistent layer accordingly... } protected Serializable getSessionId(Serializable sessionId, boolean create){ if (create && null == sessionId) { return generateNewSessionId(); } else { return sessionId; } } ... } ``` 3. **激活@EnableRedisHttpSession注解开关** 修改之前提到过的全局配置类使其具备感知HTTP请求上下文中携带cookie信息的能力进而完成自动续签操作防止频繁触发全量同步动作造成不必要的网络开销浪费现象发生。 ```java package com.example.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.session.data.redis.config.ConfigureRedisAction; import org.springframework.session.web.http.CookieSerializer; import org.springframework.session.web.http.DefaultCookieSerializer; @Configuration @EnableRedisHttpSession(maxInactiveIntervalInSeconds=86400*30)//maxInactiveIntervalInSeconds: 设置Session失效时间 public class SessionConfig { @Bean ConfigureRedisAction configureRedisAction() { return ConfigureRedisAction.NO_OP; } @Bean CookieSerializer cookieSerializer() { DefaultCookieSerializer serializer = new DefaultCookieSerializer(); serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$"); return serializer; } } ``` 以上即是在Spring Boot应用里集成Apache Shiro框架并通过第三方中间件优化其内部工作流程的一些常见实践方案[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值