springboot+shiro自定义拦截器互踢问题

最新推荐文章于 2023-07-04 16:20:34 发布
最新推荐文章于 2023-07-04 16:20:34 发布
阅读量1.6k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: springboot Java 文章标签: mysql kafka 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/leijie0322/article/details/121511166
本文介绍了如何在Shiro框架中通过自定义拦截器`KickOutSessionControlFilter`实现会话互踢功能,确保同一账号在同一时刻只能在一个地方登录。拦截器关键在于`isAccessAllowed`和`onAccessDenied`方法的实现,通过缓存管理器和会话管理器判断并处理多个会话的情况。当会话数量超过预设最大值时,根据配置决定踢出先登录或后登录的用户。此外,还展示了如何在Spring配置中注册和使用这个拦截器。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

shiro自定义拦截器继承AccessControllerFilter,实现session互踢机制。
应用场景:
我们经常会有用到,当A 用户在北京登录 ,然后A用户在天津再登录 ,要踢出北京登录的状态。如果用户在北京重新登录,那么又要踢出天津的用户,这样反复。又或是需要限制同一用户的同时在线数量,超出限制后,踢出最先登录的或是踢出最后登录的。
分析:
spring security就直接提供了相应的功能;Shiro的话没有提供默认实现,不过可以很容易的在Shiro中加入这个功能。那就是使用shiro强大的自定义访问控制拦截器:AccessControlFilter,集成这个接口后要实现下面这2个方法:isAccessAllowed、onAccessDenied
isAccessAllowed:表示是否允许访问;mappedValue就是[urls]配置中拦截器参数部分,如果允许访问返回true,否则false;
onAccessDenied:表示当访问拒绝时是否已经处理了;如果返回true表示需要继续处理;如果返回false表示该拦截器实例已经处理了,将直接返回即可。
部分代码:

public class KickOutSessionControlFilter extends AccessControlFilter {

    private static final Logger logger = LoggerFactory.getLogger(KickOutSessionControlFilter.class);

    /**
     * 踢出之前登录的/之后登录的用户 默认踢出之前登录的用户
     */
    private boolean kickOutAfter = false;
    /**
     * 同一个帐号最大会话数 默认1
     */
    private int maxSession = 1;
    /**
     * 会话管理器
     */
    private SessionManager sessionManager;
    /**
     * 会话缓存
     */
    private Cache<String, Deque<Serializable>> cache;

    public void setKickOutAfter(boolean kickOutAfter) {
        this.kickOutAfter = kickOutAfter;
    }

    public void setMaxSession(int maxSession) {
        this.maxSession = maxSession;
    }

    public void setSessionManager(SessionManager sessionManager) {
        this.sessionManager = sessionManager;
    }

    public void setCacheManager(RedisCacheManager cacheManager) {
        this.cache = cacheManager.getCache("shiro_redis_cache");
    }

    /**
     * 是否允许访问,返回true表示允许
     *
     * @param servletRequest
     * @param servletResponse
     * @param obj
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object obj) {
        return false;
    }

    /**
     * 表示访问拒绝时是否自己处理,如果返回true表示自己不处理且继续拦截器链执行,返回false表示自己已经处理了(比如重定向到另一个页面)。
     *
     * @param servletRequest
     * @param servletResponse
     * @return
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
        // 1同一个用户在不同ip上,不可以同时访问,后者会把前者踢出,即同一个用户不可以同时访问
        Subject subject = getSubject(servletRequest, servletResponse);
        System.out.println("===当前subject:==" + SecurityUtils.getSubject());
        if (!subject.isAuthenticated() && !subject.isRemembered()) {
            // 如果没有登录,直接进行之后的拦截器链
            return true;
        }
        // 当前用户
        User user = (User) subject.getPrincipal();
        String username = user.getUserName();
        
        // 当前会话
        Session session = subject.getSession();
        Serializable sessionId = session.getId();
        
        // 读取缓存用户 没有就存入
        Deque<Serializable> deque = cache.get(username);
        if (deque == null) {
            // 初始化队列
            deque = new ArrayDeque<Serializable>();
        }
        
        // 如果队列里没有当前会话sessionId,且当前会话未设置踢出标记(用户没有被踢出),放入队列
        if (!deque.contains(sessionId) && session.getAttribute("kickOut") == null) {
            // 将用户的sessionId存入队列
            deque.push(sessionId);
            // 将用户的sessionId存入队列缓存
            cache.put(username, deque);
        }
        
        // 如果队列里的sessionId数超出最大会话数,开始踢人
        while (deque.size() > maxSession) {
            Serializable kickOutSessionId = null;
            // 是否踢出后来登录的,默认是false,即后者登录的用户踢出前者登录的用户;
            if (kickOutAfter) {
                // 如果踢出后者
                kickOutSessionId = deque.removeFirst();
            } else {
                // 否则踢出前者
                kickOutSessionId = deque.removeLast();
            }
            // 踢出后再更新下缓存队列
            cache.put(username, deque);
            
            try {
                // 获取被踢出的sessionId的session对象
                Session kickOutSession = sessionManager.getSession(new DefaultSessionKey(kickOutSessionId));
                if (kickOutSession != null) {
                    // 设置会话的kickOut属性表示踢出了
                    kickOutSession.setAttribute("kickOut", true);
                    System.out.println("===将sessionId:==" + kickOutSession.getId() + "设置踢出标记");
                }
            } catch (Exception e) {
                // ignore exception
            }
        }
        // ajax请求,如果被踢出了,(前者或后者)直接退出,返回相应的状态
        if (session.getAttribute("kickOut") != null && (Boolean) session.getAttribute("kickOut") == true) {
            // 当前会话踢出标记不为空且等于true,会话被踢出了
            try {
                // 退出登录
                String ip = IPUtil.getIpAddress((HttpServletRequest) servletRequest);
                String url = ((HttpServletRequest) servletRequest).getRequestURL() + "";
                SecurityLogoutFilter.logout(subject);
                logger.info("IP地址为:" + ip + "的用户【" + username + "】被踢出,已在其他ip地址登录");
                ResponseUtil.returnResultAjax();
                return false;
            } catch (Exception e) {
                // ignore
            }
            return false;
        }
        return true;
    }
}

shiroFilterFactoryBean方法

		// 自定义过滤器
        Map<String, Filter> filters = new HashMap<>();
        // 同一用户登陆互踢
        filters.put("kickOut", kickOutSessionControlFilter());
		filterChainDefinitionMap.put("/**", "kickOut,authc");

定义拦截器的时候不需要加@Bean;

	//@Bean
    public KickoutSessionControlFilter kickoutSessionControlFilter(){
        KickoutSessionControlFilter kickoutSessionControlFilter = new KickoutSessionControlFilter();
        //用于根据会话ID,获取会话进行踢出操作的;
        //是否踢出后来登录的,默认是false;即后者登录的用户踢出前者登录的用户;
        kickoutSessionControlFilter.setKickoutAfter(false);
        //同一个用户最大的会话数,默认1;比如2的意思是同一个用户允许最多同时两个人登录;
        kickoutSessionControlFilter.setMaxSession(1);
        //被踢出后重定向到的地址
        kickoutSessionControlFilter.setKickoutUrl("/a/login");
        return kickoutSessionControlFilter;
    }

互踢分析:

1A用户第一次访问登录,进入互踢过滤器,获取当前会话,会话未认证不处理进入后面的拦截器,拦截器均未拦截住,进行正常登录获得会话token
2.1A用户第一次访问请求,进入互踢过滤器,获取当前会话,从cahe中获取deque,该deque不包含当前会话token且当前会话未设置标记,将会话token放入deque,放入cache,deque中token数量未超过1,当前会话的标记为空进入后面的拦截器
2.11A用户第二次访问请求,deque未变化,当前会话的标记为空进入后面的拦截器
2.2B用户第一次访问登录,进入互踢过滤器,获取当前会话,会话未认证不处理进入后面的拦截器,拦截器未拦截住,进行正常登录获得会话token
2.21B用户第一次访问请求,进入互踢过滤器,获取当前会话,从cache中获取deque,该deque不包含当前会话token且当前会话未设置标记,将会话token放入deque,放入cache,deque中token数量超过1,将deque中A的token删除,cache更新,将A的会话设置标记,当前会话的标记为空进入后面的拦截器
2.22B用户第二次访问请求,deque未变化,当前会话的标记为空进入后面的拦截器
3.1A用户第三次访问请求,进入互踢过滤器,获取当前会话,从cahe中获取deque,该deque不包含当前会话token但当前会话已设置标记不更新deque和cache,deque中的token数量未超过1,当前会话的标记不为空且为true,进行登出返回
3.2A用户第四次访问请求,会话过期请重新登录
4.1A用户第二次访问登录,进入进入互踢过滤器,获取当前会话,会话未认证不处理进入后面的拦截器,拦截器均未拦截住,进行正常登录获得会话token
4.2A用户第四次访问请求,进入互踢过滤器,获取当前会话,从cahe中获取deque,该deque不包含当前会话token且当前会话未设置标记,将会话token放入deque,放入cache,deque中token数量超过1,将deque中B的token删除,cache更新,将B的会话设备标记,当前会话的标记为空进入后面的拦截器
5B用户第三次访问请求,进入互踢过滤器,获取当前会话,从cahe中获取deque,该deque不包含当前会话token但当前会话已设置标记不更新deque和cache,deque中的token数量未超过1,当前会话的标记不为空且为true,进行登出返回
SpringBoot+Shiro学习之自定义拦截器管理在线用户(出用户)
qq_20954959的博客
03-05 1万+
应用场景 我们经常会有用到,当A 用户在北京登录 ,然后A用户在天津再登录 ,要出北京登录的状态。如果用户在北京重新登录,那么又要出天津的用户,这样反复。又或是需要限制同一用户的同时在线数量,超出限制后,出最先登录的或是出最后登录的。 第一个场景出用户是由用户触发的,有时候需要手动将某个在线用户出,也就是对当前在线用户的列表进行管理。 ··························
Springboot+Shiro+Mybatis+mysql实现权限安全认证
最新发布
架构师小吴的博客
07-05 1429
Subject代表了当前用户的安全操作SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。Authenticator即认证器,对用户身份进行认证,Authenticator是一个接口,shiro提供ModularRealmAuthenticator实现类,通过ModularRealmAuthenticator基本上可以满足大多数需求,也可以自定义认证器。
shiro默认拦截器
sen19910708的专栏
10-01 9162
Shiro内置了很多默认的拦截器,比如身份验证、授权等相关的。默认拦截器可以参考org.apache.shiro.web.filter.mgt.DefaultFilter中的枚举拦截器:   默认拦截器拦截器类 说明(括号里的表示默认值) 身份验证相关的     authc org.apac
Shiro第八章二-自定义拦截器
海恩的博客
04-30 416
自定义拦截器 自定义拦截器可以扩展一些功能,如,从Subject获取用户身份信息绑定到Request、验证码验证、在线用户信息的保存等。 扩展OncePerRequestFilter OncePerRequestFilter保证请求只调用一次doFilterInternal()。 public class MyOncePerRequestFilter extends ...
shiro 自定义拦截器
qq_38930240的博客
01-29 4787
1.拓展 OncePerRequestFilter  用于防止多次执行 Filter 的;也就是说一次请求只会走一次拦截器链;另外提供 enabled 属性,表示是否开启该拦截器实例,默认 enabled=true 表示开启,如果不想让某个拦截器工作,可以设置为 false 即可。 保证一次请求只调用一次 doFilterInternal,即如内部的 forward 不会再多执行一次 doFi...
springboot shiro session功能,一个用户只能一处浏览器登录
风兮雨露的博客
07-03 6040
说明:一个相同的账号在第一个浏览器登陆成功后,当在第二浏览器登陆成功后,第一个浏览器登陆的用户就会被出,无法进行操作。 主要是配置EhCache缓存器来缓存sission 1、shiro 配置Javabean,ShiroConfiguration.java import java.util.LinkedHashMap; import java.util.Map; import or...
springboot+shiro+redis整合
03-12
在IT行业中,SpringBootShiro和Redis是三个非常重要的技术组件,它们分别在不同的领域发挥...在实际应用中,还可以根据需要扩展Shiro的功能,比如添加自定义拦截器,或者结合Spring Security进行更深度的安全控制。
管理系统系列--SpringBoot+Shiro权限管理系统脚手架.zip
02-25
通过配置Shiro过滤器链,可以实现对不同资源的权限拦截,确保只有具备相应权限的用户才能访问特定的页面或接口。 在实际应用中,权限管理通常涉及到以下几个关键部分: 1. **用户认证**:用户登录时,Shiro会对...
SpringBoot+shiro+redis+jwt .zip
01-03
4. `JwtTokenFilter.java`:自定义过滤器,用于拦截请求,验证JWT并处理相关逻辑。 5. `UserServiceImpl.java`:用户服务接口实现,负责用户登录、权限验证等操作。 6. `RedisConfig.java`:`Redis`的相关配置,如...
springboot+shiro自定义拦截器+jwt实现前后端分离权限管理
点点的博客
07-13 4415
说明:前后端不分离的时候springboot+shiro可以实现有状态服务,前后端分离后工程就变成无状态服务,本文直接代码解决工程无状态问题。 一:前期准备工作 引入maven <!--token验证 jwt--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9
springboot自定义拦截器filter
07-10
项目集成了sso资源拦截的控制,自己写了一个springBoot自定义的filter。可以减少一些不必要的资源拦截。自己做的一个小demo,共享于大家。
shiro实现用户出功能
weixin_34023863的博客
01-05 2436
title: shiro实现用户出功能 tags: reids shiro Kickout categories: 工作日志 date: 2017-05-25 18:18:56 貌似现在javaweb界大部分还是知道开涛的大名的,许多人的springmvc,spring,shiro等的入门教程就是从开涛的博客开始的。 Shiro的单用户登录功能也是从开涛的博客代码参考过来的,第十八章 并...
Shiro自定义拦截器实现权限或
kanaiji123的博客
04-08 4874
阅读Shiro的文档可以知道,Shiro提供的多个权限相关的验证方法只有and关系,而没有提供or的校验方法,也就是说并不支持拥有多个权限中的某一个就验证成功的情景。 Shiro的AccessControlFilter提供了访问控制的基础功能,其中提供的isAccessAllowed方法的返回值表示了是否允许访问。打开他的继承关系可以看到: AuthenticationFilter和Autho...
Spring Boot 实战指南(五):自定义注解、拦截器
TracyCoder的博客
07-04 2681
自定义注解是Java语言提供的一种元编程(metaprogramming)机制,它允许开发者在代码中添加自己的元数据(metadata),以便在程序运行时进行解析和处理。通过注解我们可以免去繁琐的配置过程,简化开发流程,可以解决很多实际开发过程中的痛点、难点,让我们可以提出更多更合理的非侵入式解决方案。以下是一些使用自定义注解的原因和好处:提供额外的元数据:自定义注解可以通过在源代码中添加额外的元数据,用于描述类、方法、字段等程序元素的特性和属性。
spring boot + shiro 实现登陆 出用户功能 (挤人) 以及UnknownSessionException异常问题 记住我功能
AmbroseLe
12-23 8242
简介:出用户功能:就是限制一个账号登陆人数。 本文限定一个账号一个用户登陆,并且是挤掉前一个用户 目录 首先 pom 然后Shiro配置Bean ShiroConfigBean 然后配置 ShiroRealm(百度翻译: Realm 领域) 然后sessiondao SessionDAO 然后 配置人(挤人)逻辑 Kicko...
shiro+springboot 权限拦截器问题
qq_36666181的博客
07-17 1057
login.html:1 Uncaught SyntaxError: Unexpected token &lt; login.html:17 Resource interpreted as Stylesheet but transferred with MIME type text/html: "http://localhost:8088/login/login.html". login.htm...
java的SpringBoot如何集成shiro做单点登录并且实现人功能
12-14 1072
前提: 我们有时候在项目中,会有这样一个业务场景,就是如果A用户在一点登录admin账号,B用户在一点半登录的时候,会发现两者都登录成功了,但是为了安全考虑我们是不可以让登录成功的,要么掉前者A要么阻止后者B,所以这会儿项目中我们就需要用到单点登录了。 有时候也可以指定一个账号可以多少个人同时在线,这些都会体现在代码中,对应的代码中的逻辑,针对自己的业务去修改就可以了。 项目选择的框架是:SpringBoot + Shiro + Redis(也可以使用其他的cache) 正文: 我们需要在每次用
springboot+shiro实现登录人数控制
weixin_45541795的博客
10-29 895
今天又是美好的一天,好了,不多逼逼。今天内容有点多,咱们抓紧时间。 好,咱们来讲讲如何写springboot+shiro 实现登陆人数控制 来,咱们直接看代码 conrtoller:咱们就是一个正常登陆,没什么区别 Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username,password); System.ou
shiro自定义filter-rememberMe
qq_24903931的博客
05-15 861
shiro记住我功能原理 采用记住我功能之后,shiro会在cookie中,添加rememberMe属性值。 关闭浏览器之后,cookie信息没有清空,再次打开浏览器,进行访问。 shiro读取rememberMe,其值是用户的唯一标识进行Base64编码后的结果。 shiro对rememberMe值进行解码,解码之后,将该值添加至subject对象中。 场景 Base64编码不是加密...
SpringBoot+Shiro结合Jwt实现前后端分离
本项目通过自定义拦截器来实现额外的安全控制,这通常涉及实现`org.apache.shiro.web.filter.AccessControlFilter`或`org.apache.shiro.web.filter.authz.AuthorizationFilter`接口。 4. **JWT**:JWT(JSON Web ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值