关于使用SpringSecurity不能设置Session并发无效、剔除前一个用户无效的核心解决方案

最新推荐文章于 2024-10-13 07:52:00 发布
原创 最新推荐文章于 2024-10-13 07:52:00 发布 · 1.8w 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#session #SpringSecurity #并发 #剔除前一个用户

本文介绍如何在SpringBoot项目中使用SpringSecurity控制用户会话并发数,特别是针对单个用户登录时如何正确地踢出之前的登录会话。文章详细解释了通过重写自定义User对象的equals、toString及hashCode方法实现这一目标的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

那些年掉过SpringSecurity的坑。

最近在研究SpringBoot集成SpringSecurity权限框架的Demo,关于怎么集成,网上一大片的文章,我就不废话多说了,自行百度解决。


我使用的是注解配置,类继承WebSecurityConfigurerAdapter适配器,重写configure(HttpSecurity http)方法配置参数等。


然后是继承UserDetails抽象接口实现自定义的User对象,而SpringSecurity管理Session也是通过管理User对象实现的。


然后到了配置Session的并发步骤了,不管是通过HttpSecurity配置还是XML方式配置其目的都是一样的,以下是HttpSecurity配置。

http.sessionManagement()//Session管理器
	.maximumSessions(1)
	.sessionRegistry(sessionRegistry)
	.expiredUrl("/Member/Login.html");
好了,maximumSessions(1)是配置好了,然后去启动项目,然后你会发现登录同一个账号,并没有剔除前一个账号,这是怎么回事呢?

抛开框架暂且不说,如果是我直接写一个剔除前一个用户的话,我肯定是要得到全部用户,然后挨个挨个遍历筛选,如果存在当前登录用户就剔除前一个用户,这个需要使用if比较来实现的。

好了,问题找到了,因为SpringSecurity是通过管理UserDetails对象来实现用户管理的,按照上一步的原理,是需要进行比较实现效果的,然后呢,类的比较是不能用==比较的,类之间的比较是通过类的equals方法进行比较的,好了,问题找到了,我们自定义的User对象是没有实现equals方法的,好了,我们现在开始重写equals方法吧,关于重写的规则是:如果要重写equals方法,那么就必须要重写toStirng方法,如果要重写toString方法就最好要重写hashCode方法,所以我们需要在自定义的User对象中重写三个方法,hashCode、toString和equals方法。

	@Override
	public String toString() {
		return this.userName;
	}
	
	@Override
	public int hashCode() {
		return userName.hashCode();
	}
	
	@Override
	public boolean equals(Object obj) {
		return this.toString().equals(obj.toString());
	}


下面是我自定义的User类(只是示例,没有配置权限相关):
import java.util.Collection;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import com.hong610.domain.User;

/**
 * SpringSecurity User
 * @author Hong
 * @Date 2016年11月20日
 */
public class UserDetail implements UserDetails {
	
	private String userName;

	private String userPwd;

	private static final long serialVersionUID = 1L;

	public UserDetail(User user) {
		this.setUserName(user.getUserName());
		this.setUserPwd(user.getUserPwd());
	}

	@Override
	public Collection<? extends GrantedAuthority> getAuthorities() {
		return null;
	}

	@Override
	public String getPassword() {
		return this.getUserPwd();
	}

	@Override
	public String getUsername() {
		return this.getUserName();
	}

	@Override
	public boolean isAccountNonExpired() {
		return true;
	}

	@Override
	public boolean isAccountNonLocked() {
		return true;
	}

	@Override
	public boolean isCredentialsNonExpired() {
		return true;
	}

	@Override
	public boolean isEnabled() {
		return true;
	}

	public String getUserName() {
		return userName;
	}

	public void setUserName(String userName) {
		this.userName = userName;
	}

	public String getUserPwd() {
		return userPwd;
	}

	public void setUserPwd(String userPwd) {
		this.userPwd = userPwd;
	}
	
	@Override
	public String toString() {
		return this.userName;
	}
	
	@Override
	public int hashCode() {
		return userName.hashCode();
	}
	
	@Override
	public boolean equals(Object obj) {
		return this.toString().equals(obj.toString());
	}
}

Okay,重启项目,剔除前一个用户成功!

关于重写的规则参照《Effective Java》书籍。


项目中配置了spring Security3 的并发session管理,一直无效
u010792280的专栏
06-03 1610
项目中配置了spring Security3 的并发session管理,一直无效,2个相同账户依然可以登录,不知道什么原因,网上搜了很很多都不行,请大牛指点! web.xml    org.springframework.security.web.session.HttpSessionEventPublisher applicationContext-security.xm
【Spring Security系列】Spring Security会话管理
qq_28248897的博客
07-01 1492
只需在两个浏览器中用同一个账号登录就会发现,到目为止,系统尚未有任何会话并发限制。一个账户能多处同时登录可不是一个好的策略。事实上,Spring Security已经为我们提供了完善的会话管理功能,包括会话固定攻击、会话超时检测以及会话并发控制。 1.什么是会话 会话(session)就是无状态的 HTTP 实现用户状态可维持的一种解决方案。HTTP 本身的无状态使得用户在与服务器的交互过程中,每个请求之间都没有关联性。这意味着用户的访问没有身份记录,站点也无法为用户提供个性化的服务。session
spring security 3.x session-management 会话管理失效
08-03
实现会话控制,权限控制,免登陆的spring security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995886
SpringSecurity用法详解,解决maximumSessions(1)不生效的问题
woshihedayu的博客
02-07 5349
1、定义核心配置类,使用如下注解 @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapter 在配置类中注入所需属性 @Autowired private UserDetailsService userDetailsService; @Autowire
spring-security(五):会话管理:为何使用了自定义数据库模型后,session管理策略不生效了?
suvue
05-03 648
1.解决方案 重写实体类的hashcode()方法和equals方法,参考如下: public class SysUsers implements UserDetails { private String userName; //.......省略属性信息、setter、getter方法以及实现的方法 @Override public int hashCode(...
后分离项目整合spring security,自定义登录验证接口,并解决maximumSessions(1)不生效的问题
Johnson_7的博客
09-19 5727
后分离项目整合spring security,自定义登录验证接口,并解决maximumSessions(1)不生效的问题
【Spring Security OAuth2】- Spring Social第三方登录 - 单机session管理
smart_an的专栏
10-13 896
作者简介:大家好,我是哥,中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3854
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 2049
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目发展到2.0版本,1.0版本过
Spring Security学习笔记(五)—— 会话管理
曲怪曲怪
06-01 465
文章目录1 会话2 防御固定会话攻击3 会话过期4 会话并发控制5 Spring Session解决集群会话问题 1 会话 首先对于Http协议而言是一种无状态的,需要通过Session(会话)来解决,Session技术则主要是服务器发送给浏览器一个ID,浏览器将相关ID保存起来,而对于服务器而言,Session是一种Map结构,通过请求过来的ID找到对应的Value值,这也就形成了不同的请求之间有了。对于ID的保存,在不妨碍体验的情况下,Cookie成了一种不错的载体,将ID存储到其中,保存的形式是key
spring security(七) session 并发一个用户在线后其他的设备登录此用户失败
哎幽的成长
08-23 1万+
这又是 一片 关于security 的文章,用于解决 session 并发问题 ,同时只有一个用户,在线。 有一个用户在线后其他的设备登录此用户失败。本文代码,是基于 springboot+security restful权限控制官方推荐(五) 的代码未完待续。。。。只是先把代码粘出来,然后再做修改1. 修改security配置修改 WebSecurityConfig 文件 添加 SessionR
Springboot集成SpringSecurity过程中遇到的问题
徒手千行代码无bug
02-20 1231
一、配置的免登录访问接口不生效。 @Component @EnableWebSecurity public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { //免登录的接口 @Override public void configure(WebSecurity web) throws ...
spring boot security 配置session失效
gm371200587的博客
05-22 6618
1.启动类文件夹中加入一个filter package com.mozi.hip.empi.web.config;   import java.io.IOException;   import javax.servlet.FilterChain; import javax.servlet.ServletException; import j...
springsecurity session并发问题
qq_34886599的博客
07-17 914
首先,先介绍一下登录互顶流程。 假设a账户在1处登录成功,此时,springsecuritysessionId和用户信息封装成sessionInfomation保存到 SessionRegistry对象中, 然后a账户又在2处登录,此时会从sessionRegistry对象中获取所有sessionInfomation,并判断有没有与当用户名一样的sessionInfomation,若有,就...
基于java config的springSecurity(五)--session并发控制
热门推荐
xiejx618的专栏
01-20 1万+
参考spring-security-reference.pdf的Session Management.特别是Concurrency Control小节. 管理session可以做到: a.跟踪活跃的session,显示在线用户,基于将用户下线. b.控制并发,即一个用户最多可以使用多少个session登录,比如设为1,结果就为,同一个时间里,第二处登录要么不能登录,要么使一个登录失效.
spring security 用JPA进行安全管理中使用自定义的UserDetails时,maximumSessions()无法限制Session
小伍的程序之路
04-14 725
这是我自定义的UserDetails,这个user对象会保存到数据库。 //自定义的User @Entity(name = "t_user") public class User implements UserDetails, CredentialsContainer { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; private String username;
Springboot +spring session,实现session并发控制
m0_58620140的博客
11-13 450
默认是username,但是我们项目的用户名是可以重复的,所以踢人下线用用户名就有问题。在登录成功的地方,设置一下即可。
关于spring security自定义sessionRegistry不工作的原因简析
weixin_33847182的博客
07-09 2494
最近调了一下spring security的集群session共享,用到了自定义的SessionRegistry,却发现怎么也不工作,翻了翻stackoverfllow,也没找到靠谱的办法,最后自己debug,找到了问题所在本文基于 Spring3.1.5,Spring security 2.0.4最开始配置如下:<beans:beanid="sessionRegis...
SpringSecurity in Action》四:Session共享下的Session并发控制问题
shangcunshanfu的博客
04-24 4103
文章目录1 概述2 原因3 解决方案4 方案实现 1 概述 该篇基于《SpringSecurity in Action》三:Session并发控制问题 & 《SpringSecurity in Action》二: 基于redis实现session共享 在【《SpringSecurity in Action》三:Session并发控制问题】最后做测试时,刻意回避了一个问题,就是不要在多副本情况下进行测试,因为以上一篇的配置来说,还不支持在session共享下完成session并发控制。 2 原因 这里
@Configuration @EnableWebSecurity @Order(value = 101) public class CustomSecurityConfig extends WebSecurityConfigurerAdapter { @Resource LowcodeTokenFilter lowcodeTokenFilter; @Resource LowcodeTokenAuthenticationProvider lowcodeTokenAuthenticationProvider; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(lowcodeTokenAuthenticationProvider); } @Override protected void configure(HttpSecurity http) throws Exception { // 注:把lowcodeTokenFilter过滤器,添加到UsernamePasswordAuthenticationFilter的面。 http.addFilterBefore(lowcodeTokenFilter, UsernamePasswordAuthenticationFilter.class) .csrf().disable().exceptionHandling() .and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and().authorizeRequests() // antMatchers("/api/hello").permitAll() // 允许匿名访问 .antMatchers("/**").authenticated(); } } 如何将lowcodeTokenFilter 这个过滤器放入响应式网关中
最新发布
03-08
<think>好的,我现在需要帮助用户将他们的lowcodeTokenFilter整合到响应式网关中。用户提供的代码是基于传统的Spring Web Security配置,使用的是WebSecurityConfigurerAdapter,这在响应式环境中不再适用。首先,我需要确认响应式网关使用的是Spring Cloud Gateway,并且是基于Spring WebFlux的,所以安全配置应该使用Reactive版的Spring Security。 接下来,我得回忆一下Spring Security的响应式配置方式。传统的是使用WebSecurityConfigurerAdapter,而响应式则需要通过@EnableWebFluxSecurity注解,并配置SecurityWebFilterChain的Bean。用户原来的CustomSecurityConfig继承自WebSecurityConfigurerAdapter,现在需要改为定义SecurityWebFilterChain。 然后,用户提到的lowcodeTokenFilter是一个Servlet过滤器,这在响应式环境中不适用。因为响应式使用的是WebFilter,所以需要将lowcodeTokenFilter转换为WebFilter或者自定义的ServerWebExchange修改逻辑。可能需要检查lowcodeTokenFilter的具体功能,比如是否处理认证令牌,将其转换为响应式的实现。 另外,用户原来的配置中使用了addFilterBefore,将lowcodeTokenFilter添加到UsernamePasswordAuthenticationFilter之。在响应式环境中,需要将自定义的WebFilter添加到过滤器链中的适当位置。可能需要使用SecurityWebFiltersOrder中的常量来确定顺序,比如在SecurityWebFiltersOrder.AUTHENTICATION之添加。 然后是认证提供者的问题。原来的lowcodeTokenAuthenticationProvider是一个AuthenticationProvider,这在响应式环境中应该替换为ReactiveAuthenticationManager。需要创建一个自定义的ReactiveAuthenticationManager,并利用lowcodeTokenAuthenticationProvider的逻辑,可能需要进行适配,将阻塞的代码转换为非阻塞的。 用户的配置中还禁用了CSRF,设置了无状态会话,这些在响应式配置中同样需要处理。可以通过调用.csrf().disable()和.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)来实现。 最后,授权配置需要调整,原来的antMatchers在响应式中使用pathMatchers,并且通过.access()方法结合AuthorizationManager来处理权限。比如允许匿名访问某些路径,其他路径需要认证。 总结步骤应该是:转换过滤器为WebFilter,配置SecurityWebFilterChain,调整认证管理,设置安全策略,处理授权。同时需要注意响应式编程的非阻塞特性,避免使用阻塞代码。可能还需要处理全局安全上下文和异常处理的问题,比如使用自定义的ServerAuthenticationEntryPoint来处理未认证的请求。</think>将传统Spring Security过滤器迁移到响应式网关(如Spring Cloud Gateway)需要重构安全配置架构。以下是分步改造方案: 1. **基础配置转换** ```java @Configuration @EnableWebFluxSecurity // 替换@EnableWebSecurity @Order(101) public class CustomSecurityConfig { @Resource private LowcodeTokenWebFilter lowcodeTokenWebFilter; // 需转换为响应式WebFilter @Bean public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) { return http .csrf().disable() .exceptionHandling() .and() .addFilterAt(lowcodeTokenWebFilter, SecurityWebFiltersOrder.AUTHENTICATION) // 调整过滤器位置 .authenticationManager(reactiveAuthenticationManager()) // 响应式认证管理 .authorizeExchange() .pathMatchers("/api/hello").permitAll() .anyExchange().authenticated() .and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and().build(); } } ``` 2. **过滤器改造(关键步骤)** ```java @Component public class LowcodeTokenWebFilter implements WebFilter { private final ReactiveAuthenticationManager authenticationManager; public LowcodeTokenWebFilter(ReactiveAuthenticationManager authenticationManager) { this.authenticationManager = authenticationManager; } @Override public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) { return Mono.justOrEmpty(extractToken(exchange.getRequest())) .flatMap(token -> authenticate(token)) .switchIfEmpty(chain.filter(exchange).then(Mono.empty())); } private Mono<Authentication> authenticate(String token) { return authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(token, token) ); } private String extractToken(ServerHttpRequest request) { // 实现token提取逻辑 return request.getHeaders().getFirst("X-AUTH-TOKEN"); } } ``` 3. **认证管理器适配** ```java @Bean public ReactiveAuthenticationManager reactiveAuthenticationManager( LowcodeTokenAuthenticationProvider provider ) { return authentication -> { Authentication auth = new UsernamePasswordAuthenticationToken( authentication.getPrincipal(), authentication.getCredentials() ); return Mono.just(provider.authenticate(auth)); }; } ``` **核心改造点说明**: 1. **架构差异处理**: - 用`SecurityWebFilterChain`代替`WebSecurityConfigurerAdapter` - 用`WebFilter`代替`Filter` - 使用`ReactiveAuthenticationManager`代替`AuthenticationProvider` 2. **执行顺序调整**: ```java // 替代原来的addFilterBefore .addFilterAt(lowcodeTokenWebFilter, SecurityWebFiltersOrder.AUTHENTICATION) ``` - `SecurityWebFiltersOrder`定义了响应式过滤器的标准顺序 - 常用位置: - `SECURITY_CONTEXT_SERVER_WEB_EXCHANGE` (上下文初始化) - `AUTHENTICATION` (认证处理) - `AUTHORIZATION` (授权检查) 3. **认证流程改造**: ```mermaid sequenceDiagram Client->>Gateway: 请求 Gateway->>LowcodeTokenWebFilter: 触发过滤 LowcodeTokenWebFilter->>ReactiveAuthenticationManager: 认证请求 ReactiveAuthenticationManager->>LowcodeTokenAuthenticationProvider: 执行认证 LowcodeTokenAuthenticationProvider-->>Gateway: 返回认证结果 Gateway->>Client: 响应结果 ``` 4. **阻塞代码处理**: - 如果原有`LowcodeTokenAuthenticationProvider`包含阻塞操作: ```java // 使用调度器处理阻塞调用 return Mono.fromCallable(() -> blockingOperation()) .subscribeOn(Schedulers.boundedElastic()); ``` **注意事项**: 1. 响应式编程中禁止: - 使用ThreadLocal存储上下文 - 直接调用阻塞IO操作 - 同步方法调用未做隔离处理 2. 性能优化建议: ```java // 使用缓存优化token验证 private final LoadingCache<String, Authentication> tokenCache = Caffeine.newBuilder() .maximumSize(10_000) .expireAfterWrite(1, TimeUnit.HOURS) .build(key -> provider.authenticate(...)); ``` 3. 异常处理增强: ```java .exceptionHandling() .authenticationEntryPoint((exchange, ex) -> { exchange.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED); return exchange.getResponse().writeWith(...); }) .accessDeniedHandler((exchange, ex) -> { exchange.getResponse().setStatusCode(HttpStatus.FORBIDDEN); return exchange.getResponse().writeWith(...); }) ``` 完整迁移后,建议使用WebTestClient进行验证: ```java @Test void shouldReturnUnauthorizedWithoutToken() { webTestClient.get().uri("/api/resource") .exchange() .expectStatus().isUnauthorized(); } ```
评论 31
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值