spring session+spring security 实现用户不能重复登录

最新推荐文章于 2025-01-24 16:00:24 发布
转载 最新推荐文章于 2025-01-24 16:00:24 发布 · 602 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/3065626/blog/1790826
文章标签:

#java #测试 #python

本文介绍如何在Spring Security中配置Spring Session以实现session共享,并解决了在集群环境下可能出现的SessionFixation问题及并发会话管理。同时给出了具体的登录和登出代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

spring session 是为了session共享  后端是几台集群。

直接上配置:

spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:security="http://www.springframework.org/schema/security"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"
	xsi:schemaLocation="
        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd
        http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans.xsd
        http://www.springframework.org/schema/context
        http://www.springframework.org/schema/context/spring-context.xsd
        http://www.springframework.org/schema/tx             
        http://www.springframework.org/schema/tx/spring-tx.xsd
        http://www.springframework.org/schema/mvc
        http://www.springframework.org/schema/mvc/spring-mvc.xsd
        http://www.springframework.org/schema/task
		http://www.springframework.org/schema/task/spring-task.xsd">
		
	<security:http pattern="/packages/index/**" security="none" />
	<security:http pattern="/packages/pages/**" security="none" />
	<security:http pattern="/packages/sidebarfile.json" security="none" />
	<security:http pattern="/favicon.ico" security="none" />
	<security:http pattern="/goToLogin.html" security="none" />
	<security:http pattern="/index.html" security="none" />
	<security:http pattern="/login.json" security="none" />
	<security:http pattern="/loginPrompt.html" security="none" />
	<security:http pattern="/pseudo_login.html" security="none" />

	<security:http pattern="/mvc/dispatch" create-session="always" auto-config='true'>
		<security:intercept-url pattern="/mvc/dispatch" access="permitAll" />
		<security:csrf disabled="true" />
		<security:custom-filter position="CONCURRENT_SESSION_FILTER" ref="concurrencyFilter" />
        <security:session-management
            session-authentication-strategy-ref="sas" />
		
	</security:http>

	<security:authentication-manager>
		<security:authentication-provider user-service-ref="jbpUserDetailsService" />
	</security:authentication-manager>

	<security:global-method-security pre-post-annotations="enabled" />
	
	<bean id="redirectSessionInformationExpiredStrategy"
		class="org.springframework.security.web.session.SimpleRedirectSessionInformationExpiredStrategy">
		<constructor-arg name="invalidSessionUrl" value="/goLogin.html" />
	</bean>
	
	<bean id="concurrencyFilter"
        class="org.springframework.security.web.session.ConcurrentSessionFilter">
        <constructor-arg name="sessionRegistry" ref="sessionRegistry" />
   		<constructor-arg name="sessionInformationExpiredStrategy" ref="redirectSessionInformationExpiredStrategy" />
    </bean>

    <bean id="sas"
        class="org.springframework.security.web.authentication.session.CompositeSessionAuthenticationStrategy">
        <constructor-arg>
            <list>
                <bean
                    class="org.springframework.security.web.authentication.session.ConcurrentSessionControlAuthenticationStrategy">
                    <constructor-arg ref="sessionRegistry" />
                    <property name="maximumSessions" value="1" />
                </bean>
                <bean
                    class="org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy">
                </bean>
                <bean
                    class="org.springframework.security.web.authentication.session.RegisterSessionAuthenticationStrategy">
                    <constructor-arg ref="sessionRegistry" />
                </bean>
            </list>
        </constructor-arg>
    </bean>


	<bean id="sessionRegistry"
		class="org.springframework.session.security.SpringSessionBackedSessionRegistry">
		<constructor-arg ref="sessionRepository" />
	</bean>
</beans>

 

<bean        class="org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy"></bean>

有时候会报 SessionFixation的问题 导致登录不上去  就是 session 销毁重建的过程失败 没有创建出新的session 就tomcat集群时会报这个问题 没找到解决方式 。可以注释掉这句

<bean        class="org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy"></bean>

让他不走SessionFixation的方法就行 虽然会导致登陆后 sessionid不变 但是内网的项目无所谓了。

 

用的security 5.0.0

之前用了废弃的方法 导致重定向 空指针 

错误配置如下:

<bean id="concurrencyFilter"
        class="org.springframework.security.web.session.ConcurrentSessionFilter">
        <constructor-arg name="sessionRegistry" ref="sessionRegistry" />
          <constructor-arg value="/goLogin.html" />
    </bean>

百度不靠谱 还得上spring-security 官网才行。 上官网一看例子 ok 调试一下源码 立马发现问题

185324_cEPp_3065626.png

旧配置 这个跳转的直接为null导致 500错误。

新配置直接用的response.sendRedirect(url)进行跳转。

登录代码里还得添加手动session注册

@Autowired
	private CompositeSessionAuthenticationStrategy sas;

private void registerTokenIntoSession(User user) throws ServiceException {
		Token token = authorizationService.getUserTokenByUserId(user);
		List<GrantedAuthority> authorities = authorizationService.getAuthorities(token.getFunc());
		Authentication auth = new PreAuthenticatedAuthenticationToken(token.getUser().getAccount(), token.getUser(),
				authorities);
		auth.setAuthenticated(true);
		SecurityContextHolder.getContext().setAuthentication(auth);	
		long loginTime = System.currentTimeMillis();
		HttpSession session = servletRequest.getSession();
		session.setAttribute("tUser", token.getUser());
		session.setAttribute("loginUserCode", token.getUser().getUserCode());
		session.setAttribute("token", token);
		session.setAttribute("loginTime", loginTime);
		session.setAttribute("SPRING_SECURITY_CONTEXT", SecurityContextHolder.getContext());
		sas.onAuthentication(auth, servletRequest, servletResponse); //重点
		workDTO.put("token", token);
		workDTO.put("loginTime", loginTime);
	}

顺便贴一下 logout

public void logout() {
		HttpSession session = servletRequest.getSession();
		session.removeAttribute("tUser");
		session.removeAttribute("loginUserCode");
		session.removeAttribute("token");
		session.removeAttribute("loginTime");
		Cookie[] cookies = servletRequest.getCookies();
		for(Cookie cookie:cookies){
			if("userId".equals(cookie.getName())){
				Cookie dCookie=new Cookie(cookie.getName(),null);
				dCookie.setValue(null);
				dCookie.setMaxAge(0);//删除登录 cookie
				dCookie.setPath(servletRequest.getContextPath());
				servletResponse.addCookie(dCookie);
			}
		}
		//返回新的logoutToken session标记
		CommonHelper.setLogOutToken(servletResponse,servletRequest,session,true,"logout");
		Authentication auth = SecurityContextHolder.getContext().getAuthentication();
		new SecurityContextLogoutHandler().logout(ActionContext.getContext().getServletRequest(),
				ActionContext.getContext().getServletResponse(), auth);
		
	}

 

转载于:https://my.oschina.net/u/3065626/blog/1790826

SpringBoot限制用户同时在线,顶下上一次登录
hosheaw的博客
01-12 2263
业务的实现主要利用了ServletContext的性质。 Servlet Context 是Servlet中最大的一个接口 一个全局的储存信息的空间 生命周期伴随服务器的运行周期 比较:①一个用户可有多个request ②一个用户只能有一个session ③所有用户公用一个servletContext 为了节省空间,提高效率,ServletContext中存储必要的、所有用户需要共享的、安全的信息。 验证登录时,需要进行如下步骤。 // 在服务器端作用域appl
Springboot+Spring-Security+JWT 实现用户登录和权限认证
yuwinter的博客
10-10 3909
Spring Boot 项目初始化:利用 Spring Initializr 创建项目,并添加必要依赖(Spring Web、Spring Security、JWT、JPA 等)。 用户登录和注册接口:实现 AuthController,处理用户登录请求,并返回 JWT。 Spring Security 配置:通过扩展 WebSecurityConfigurerAdapter 来配置 Spring Security,设置无状态的会话管理、JWT 过滤器、受保护的资源路径等。 JWT 生成和解析:实现
spring security 同步session控制
dahuil1986的专栏
11-01 246
[color=darkred][b][size=medium]原文链接地址[/size][/b][/color]:[url]http://bigcat.easymorse.com/?p=28[/url] 如果你希望限制单个用户只能登录到你的程序一次,Spring Security通过添加下面简单的部分支持这个功能。 首先,你需要把下面的监听器添加到你的web.xml文件里,让Spring S...
spring security 5 (11)-防止异地重复登录
JAVA博客
04-21 3334
本篇介绍如何实现一个用户只允许同时在一个地点登录 基本配置 protected void configure(HttpSecurity http) throws Exception { http.formLogin().and() .sessionManagement() .maximumSessions(1).expiredUrl("/expired"); maxi...
持久化spring-redis-seeeion,避免开发时的重复登录
diddied的博客
05-21 392
持久化session 问题由来: 项目中使用redis来存储session,在开发的时候每次session过期之后都需要重新登录,导致经常性的需要重新登录,设置新的token等。 于是思考可不可以持久化session,在开发的时候连接的是本地的redis,这样可以肆无忌怛的删除,增加数据。 在网上搜索了许多的教程,有些说是要重写,配置bean等,尝试了一下,由于本身对于内部的原理就不是特别了解,出了错误也不知道原因,且确实比较麻烦,之后慢慢摸索可以直接使用以下的方法。 方法一: 在启动类上加注解 @Ena
使用session监听+spring MVC拦截器禁止用户重复登录
GarfieldEr007的专栏
12-26 3132
在许多web项目中,需要禁止用户重复登录。一般来说有两种做法:          一是在用户表中维护一个字段isOnLine(是否在线),用户登录时,设定值为true,用户退出时设定为false,在重复登录时,检索到该字段为true时,禁止用户登录。这种方法有明显的漏洞,及用户在非正常情况退出(关闭浏览器、关机等)是,该字段值一直为true,会导致用户无法登录。           而另一种比
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合了Spring Boot、Spring SecuritySpring Session、Redis、Mybatis-Plus以及Swagger等技术,旨在构建一个强大的、安全的、具有...
Spring Security实现禁止用户重复登陆的配置原理
08-25
Spring Security 中,要实现禁止用户重复登陆的配置原理,需要使用 CompositeSessionAuthenticationStrategy。CompositeSessionAuthenticationStrategy 是一个复合的会话认证策略,它可以将多个会话认证策略组合...
spring-session:spring session+redis实现分布式缓存
05-26
Spring Session 是一个为基于Spring应用提供会话管理的开源项目,尤其在分布式系统中,它帮助我们实现了跨服务器的会话共享。结合Redis这一高效、轻量级的NoSQL数据库,Spring Session能有效地解决session复制和共享...
基于Spring Boot 3 + Spring Security6 + JWT + Redis实现登录、token身份认证
最新发布
ekskef_sef的博客
01-24 851
基于Spring Boot3实现Spring Security6 + JWT + Redis实现登录、token身份认证。系列文章指路??项目源码??
Spring-security不能重复登录
huangshengzhi的专栏
12-24 3979
Spring-security 1  有没有发现一个问题,我们之前做的所有练习,都没的权限管理这个模块。我们的WEB应用中的同一个帐户可以在多台机器上同时登陆,每一个用户可以操作所有功能模块。这样在以后的应用开发中是结对不可行的!            今天的重点内容就是权限管理,如果使用传统的方式进行权限管理,在实现上多少有点麻烦。我在进行桌面开发时,涉及到的权限管理是向用户表中添加用户
[Java][Spring][scurity]同步session控制,防止一个用户多次登录
王德封-逐浪
04-21 8750
[Spring][scurity]同步session控制,防止一个用户多次登录 如果你希望限制单个用户只能登录到你的程序一次,Spring Security通过添加下面简单的部分支持这个功能。  1、你需要把下面的监听器添加到你的web.xml文件里,让Spring Security获得session生存周期事件:    org.springframework
spring boot security 更新权限后,修改内存中权限内容,不必重新启动项目,重新登录就能生效...
weixin_30412167的博客
03-08 1376
第一步:在controller中注入 @Autowired private MyInvocationSecurityMetadataSourceService cs; MyInvocationSecurityMetadataSourceService 为配置中继承FilterInvocationSecurityMetadataSource的配置类 第二步:强制重新加载资源 cs.lo...
判断账号重复登录 网站
机智的大黄鱼的博客
01-11 3485
判断一个网站用户账号是否重复登录,有两种表现形式: 第一种:同一个账号,甲先在自己电脑上登录,正在使用中。。。。,乙又用该账号在另一个地方登录,此时乙能正常登录,甲会被迫下线。            同一个账号,用户甲先登录,输入正确的账号密码,登录成功的同时,由甲发起的登录已经产生了一个唯一的session,只要甲不关闭此次会话(关浏览器),甲登录产生的这个session就不会变,将其放到静
spring boot security 登录失败跳转页面提示错误信息
余_小凡 的博客
10-16 4765
页面使用的是 Thymeleaf 模板,  我们使用security权限登录登录验证成功或失败的配置前文都有,security的验证如果失败后,我们怎么给客户一个提示呢,先学习并记录一个最简单的: 一共俩步搞定: ①,首先我们要在验证失败的配置路径上加入参数:     那么:第一步就完成了 ② 前端登录页面加入错误信息提示 这个,直接给图了   这里面的重点就是那个...
spring security手动 自定义 用户认证 SecurityContextHolder
热门推荐
lemonzone2010的专栏
05-23 2万+
manually set an authenticated user in Spring Securityspring security手动 自定义 用户认证 SecurityContextHolder //存放authentication到SecurityContextHolder SecurityContextHolder.getContext().setAuthentication(authentication); HttpSession session = request.getSession
spring security手动 自定义 用户认证 SecurityContextHolder
陌子曦的专栏
06-13 3207
1.Spring Security 目前支持认证一体化如下认证技术:HTTP BASIC authentication headers (一个基于IEFT  RFC 的标准)HTTP Digest authentication headers (一个基于IEFT  RFC 的标准)HTTP X.509 client certificate exchange  (一个基于IEFT RFC 的标准)L...
springsecurity oauth2.0 认证与授权会话管理7
健康平安的活着的专栏
08-14 1180
一 会话 1.1 做会话原因 用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。 1.2 实现会话的原理 1.spring security提供会话管 理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取 用户身份。 2.Spring Security获取当前登录用户信息的方法为: SecurityContextHolder.getContext().getAuthenticatio
SpringBoot + Spring Security + JWT的登录用户认证实践
在这个标题中,这个demo展示了如何使用SpringBoot整合Spring Security和JWT进行用户登录及认证。 **数据库** 是应用程序存储数据的地方。在本demo中,SpringBoot项目会连接数据库来存储用户信息和其他业务数据。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值