spring security 3.1.0 控制用户重复登陆

标签: spring security 控制 | 发表时间:2014-02-19 18:50 | 作者:loveme888
出处:http://blog.csdn.net

通过配置我们可以实现两个需求 1、限制不允许第二个用户登录,2、第二个登陆用户踢掉前一个登陆用户 

假设你的spring架构已经可以使用了(其他的主要功能完成),需要增加登录限制功能。

注:这里只写配置不写原理(不懂的就问度娘),其实个人认为先配置好跑起来再研究下原理最好了

  1. 第一步、使用注解加上
    	@Autowired
    	protected SessionRegistry sessionRegistry;
    通过sessionRegistry可以获取系统当前在线人数和登录用户信息
  2.  applicationContext-security.xml里你需要增加和修改的地方
    <session-management invalid-session-url="/timeout.jsp" session-authentication-error-url="/s.jsp" session-authentication-strategy-ref="sas" /> ***
    <custom-filter position="CONCURRENT_SESSION_FILTER" ref="concurrencyFilter" /> 
    
    <b:bean id="sas" class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy">
       <b:constructor-arg name="sessionRegistry" ref="sessionRegistry" /> **
       <b:property name="maximumSessions" value="1" />
    </b:bean>
    <!-- SESSION管理 -->
    <b:bean id="sessionRegistry" class="org.springframework.security.core.session.SessionRegistryImpl" /> ***
    <b:bean id="concurrencyFilter" class="org.springframework.security.web.session.ConcurrentSessionFilter">
         <b:property name="sessionRegistry" ref="sessionRegistry" /> **
         <b:property name="expiredUrl" value="/timeout.jsp" /><!-- 过期的Url -->
    </b:bean>
    <!-- 登录验证器 -->
    <b:bean id="loginFilter" class="com.oms.core.security.MyUsernamePasswordAuthenticationFilter">
          <!-- 处理登录的action -->
       <b:property name="filterProcessesUrl" value="/j_spring_security_check"/>
          <!-- 验证成功后的处理-->
       <b:property name="authenticationSuccessHandler" ref="loginLogAuthenticationSuccessHandler"/>
          <!-- 验证失败后的处理-->
       <b:property name="authenticationFailureHandler" ref="simpleUrlAuthenticationFailureHandler"/>
       <b:property name="authenticationManager" ref="authenticationManager"/>
           <!-- 注入DAO为了查询相应的用户 -->
       <b:property name="agentsUserTblDao" ref="agentsUserTblDao"/>
       <b:property name="passwordEncoder" ref="passwordEncoder"/>
       <b:property name="sessionAuthenticationStrategy" ref="sas" />**
    </b:bean>

加*号的地方是需要注意的
附上我的 applicationContext-security.xml配置信息或许对你有帮助
<?xml version="1.0" encoding="UTF-8"?>
<b:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:b="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd">
	<global-method-security pre-post-annotations="enabled" />   
	
	  <!-- 不要过滤图片等静态资源,其中**代表可以跨越目录,*不可以跨越目录。 -->
	<http pattern="/static/**" security="none"/> 
	<http pattern="/commons/**" security="none" />
	<http pattern="/images/**" security="none" />
	<http pattern="/js/**" security="none" />
	<http pattern="/themes/**" security="none" />

	
	<http use-expressions="true" 	entry-point-ref="authenticationProcessingFilterEntryPoint">
		<logout  logout-url="/j_logout" logout-success-url="/user/login.do"/>  
        <!-- 实现免登陆验证 -->  
        <remember-me />  
        
		<!--   
         error-if-maximum-exceeded   true限制不允许第二个用户登录,false第二个登陆用户踢掉前一个登陆用户 
         session-fixation-protection  防止伪造sessionid攻击,用户登录成功后会销毁用户当前的session。  
   		  限制用户的最大登陆数,防止一个账号被多人使用 -->
    	<custom-filter ref="loginFilter" position="FORM_LOGIN_FILTER"  />  
  <session-management invalid-session-url="/timeout.jsp" session-authentication-error-url="/s.jsp" session-authentication-strategy-ref="sas" />
  		
		<!-- 自定义的过滤器,要在FILTER_SECURITY_INTERCEPTOR过滤器之前 -->
		<custom-filter ref="myFilter" before="FILTER_SECURITY_INTERCEPTOR" />
		 <custom-filter position="CONCURRENT_SESSION_FILTER" ref="concurrencyFilter" />  
	</http>
	

	
	 <b:bean id="sas" class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy">
		  <b:constructor-arg name="sessionRegistry" ref="sessionRegistry" />
		  <b:property name="maximumSessions" value="1" /><!--value="-1" 的时候不限制数量-->
	 </b:bean>
	   
  <authentication-manager alias="authManager">  
    <authentication-provider user-service-ref="myUserDetailService ">  
        <password-encoder hash="md5">  
        </password-encoder>  
    </authentication-provider>  
  </authentication-manager>  
<!-- SESSION管理 -->
	<b:bean id="sessionRegistry" class="org.springframework.security.core.session.SessionRegistryImpl" />
	<b:bean id="concurrencyFilter" class="org.springframework.security.web.session.ConcurrentSessionFilter">
  		<b:property name="sessionRegistry" ref="sessionRegistry"  />
 		<b:property name="expiredUrl" value="/timeout.jsp" /><!-- 过期的Url -->
	</b:bean>

<!-- 登录验证器 -->  
    <b:bean id="loginFilter"          class="com.web.security.MyUsernamePasswordAuthenticationFilter">  
        <!-- 处理登录的action -->  
        <b:property name="filterProcessesUrl" value="/j_spring_security_check"/>  
                <!-- 验证成功后的处理-->  
        <b:property name="authenticationSuccessHandler" ref="loginLogAuthenticationSuccessHandler"/>  
                <!-- 验证失败后的处理-->  
        <b:property name="authenticationFailureHandler" ref="simpleUrlAuthenticationFailureHandler"/>  
        <b:property name="authenticationManager" ref="authenticationManager"/>
        <!-- 注入DAO为了查询相应的用户 -->  
        <b:property name="userDao" ref="userDao"/>  
        <b:property name="passwordEncoder" ref="passwordEncoder"/>  
        
  		<b:property name="sessionAuthenticationStrategy"   ref="sas" />
    </b:bean>  
	 <b:bean id="loginLogAuthenticationSuccessHandler"  class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler" >  
        <b:property  name="defaultTargetUrl"  value="/user/login.do"/>  
    </b:bean>  
    <b:bean id="simpleUrlAuthenticationFailureHandler"         class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">  
        <!-- 可以配置相应的跳转方式。属性forwardToDestination为true采用forward false为sendRedirect -->  
        <b:property name="defaultFailureUrl"  value="/user/login.do?errorType=100"/>  
    </b:bean>  
    <!-- 认证过滤器 -->  
	<!-- 自定义过滤器 :认证器、决策器、资源权限加载 -->
	<b:bean id="myFilter"	class="com.oms.core.security.MyFilterSecurityInterceptor">
	 <!-- 用户拥有的权限 -->  
		<b:property name="authenticationManager" ref="authenticationManager"/>
	 <!-- 用户是否拥有所请求资源的权限 -->  
		<b:property name="accessDecisionManager" ref="accessDecisionManager"/>
	 <!-- 资源与权限对应关系 -->  
		<b:property name="securityMetadataSource" ref="securityMetadataSource"/>
	</b:bean>

	<b:bean id="hibernateTemplate"	class="org.springframework.orm.hibernate3.HibernateTemplate">
		<b:property name="sessionFactory" ref="sessionFactory"></b:property>
	</b:bean>

	<!-- 认证管理器:实现了UserDetailService接口主要根据用户名查找用户信息, -->
	<!--然后把用户信息传给和资源加载信息一块传给决策器进行判断 -->
	<authentication-manager alias="authenticationManager">
		<authentication-provider user-service-ref="myUserDetailService">
		</authentication-provider>
	</authentication-manager>
	<b:bean id="myUserDetailService" class="com.web.security.MyUserDetailService" />
	<!-- 决策管理器 -->
	<b:bean id="accessDecisionManager"	class="com.web.security.MyAccessDecisionManager"></b:bean>
	<!-- 加载资源 和权限的关系数据 -->
	<b:bean id="securityMetadataSource"	class="com.web.security.MyInvocationSecurityMetadataSource">
			<b:constructor-arg name="userService" ref="userService"></b:constructor-arg>
	</b:bean>

   <!-- 未登录的切入点 -->  
    <b:bean id="authenticationProcessingFilterEntryPoint" class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint">  
        <b:property name="loginFormUrl" value="/user/login.do"></b:property>  
    </b:bean>

	<!-- 国际化文件 -->
	<b:bean id="messageSource"
		class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
		<b:property name="basename"
			value="classpath:org/springframework/security/messages_zh_CN"/>
	</b:bean>
</b:beans>
参考文章: http://forum.spring.io/forum/spring-projects/security/130963-sessionregistry-getallprincipals-return-empty
                      http://dead-knight.iteye.com/blog/1517582
以上博客地址可以很好的帮助你理解

作者:loveme888 发表于2014-2-19 10:50:39 原文链接
阅读:83 评论:0 查看评论

相关 [spring security 控制] 推荐:

spring security 3.1.0 控制用户重复登陆

- - CSDN博客架构设计推荐文章
通过配置我们可以实现两个需求 1、限制不允许第二个用户登录,2、第二个登陆用户踢掉前一个登陆用户 . 假设你的spring架构已经可以使用了(其他的主要功能完成),需要增加登录限制功能. 注:这里只写配置不写原理(不懂的就问度娘),其实个人认为先配置好跑起来再研究下原理最好了. 通过sessionRegistry可以获取系统当前在线人数和登录用户信息.

Spring Security动态权限控制居然如此简单 | Java Debug 笔记

- - 掘金 后端
本文正在参加「Java主题月 - Java Debug笔记活动」,详情查看. 之前在动态权限控制的教程中,我们通过自定义 FilterInvocationSecurityMetadataSource和 AccessDecisionManager 两个接口实现了动态权限控制. 这里需要我们做的事情比较多,有一定的学习成本.

cxf + spring 的WS Security示例

- - RSS - IT博客云
WSPasswordCallback的 passwordType属性和 password属性都为null,你只能获得用户名(identifier),一般这里的逻辑是使用这个用户名到数据库中查询其密码,然后再设置到 password属性,WSS4J会自动比较客户端传来的值和你设置的这个值. 你可能会问为什么这里CXF不把客户端提交的密码传入让我们在 ServerPasswordCallbackHandler中比较呢.

Spring Security 实战干货:图解Spring Security中的Servlet过滤器体系

- - SegmentFault 最新的文章
我在 Spring Security 实战干货:内置 Filter 全解析对 Spring Security的内置过滤器进行了罗列,但是 Spring Security真正的过滤器体系才是我们了解它是如何进行"认证"、“授权”、“防止利用漏洞”的关键. Servlet Filter体系. 这里我们以 Servlet Web为讨论目标, Reactive Web暂不讨论.

Spring Boot 使用Spring security 集成CAS - CSDN博客

- -
      创建Maven工程:springboot-security-cas.       创建工程后,打开pom.xml,在pom.xml中加入以下内容:.           .           . 3.创建application.properties.

奔的家园 | CAS 与 Spring Security 3.1整合配置详解

- - Delicious/searchfull
该方式通过获取CAS系统里的角色,来支持CAS与Spring Security的关联,注意该文章authorities部分. 一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分. 用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统.

spring security 3中推荐使用BCrypt算法加密密码

- - jackyrong
spring security 3中推荐使用BCrypt算法加密密码了,以前使用的是md5,. Md5PasswordEncoder 和 ShaPasswordEncoder,现在不推荐了,推荐用bcrpt. Bcrpt中的salt可以是随机的,比如:.   其中strenth为长度. 已有 0 人发表留言,猛击->> 这里<<-参与讨论.

Spring security oauth2最简单入门环境搭建--二、干货

- - ITeye博客
关于OAuth2的一些简介,见我的上篇blog: http://wwwcomy.iteye.com/blog/2229889 PS:貌似内容太水直接被鹳狸猿干沉. 友情提示 学习曲线:spring+spring mvc+spring security+Oauth2基本姿势,如果前面都没看过请及时关闭本网页.

Spring Security判断用户是否已经登录 - 简书

- -
方法一、JSP中检查user principal. 需要:.

盘点 Spring Security 框架中的八大经典设计模式

- - SegmentFault 最新的文章
上次有小伙伴建议,源码分析太枯燥了,要是能够结合设计模式一起来,这样更有助于大家理解 Spring Security 源码,同时还能复习一波设计模式. 因此松哥今天就试着整一篇,和大家来聊一聊 Spring Security 中涉及到的设计模式,不过 Spring Security 中涉及到的设计模式还是非常多的,松哥这里讲几个,剩下的欢迎小伙伴们留言补充.