Spring Security之多点登录控制

2024-09-04 14:20

本文主要是介绍Spring Security之多点登录控制,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

上回我们聊了Spring Security之登录跳转,今天我们聊另外一个与功能相关的功能:多点登录控制。

多点登录控制

搞Web应用的同学都知道每个登录者的信息都是保存在Session之中,每个请求都会给带来一个唯一的sessionId。那么,这便是我们控制多点登录的切入口,或者说,基本实现思路。

假设A在C1电脑上登录,然后又在另外一台电脑C登录,那么在后台就会产生2个Session,如果我们把每个账号登录的Session记录下来,那不就能知道这个账号在几处登录了。那么,我们想要禁止账号多点登录——只能在一个地方登录——就可以限制住了。

SpringSecurity的实现

在Spring Security之Session管理中,我们在介绍的同时也聊到这个多点登录控制这个功能点,但并没有完全给大家串起来,因为那里的重点不是这个。今天咱就当复习,也来串一下流程。

多点登录控制流程分析

假设我们不允许多点登录,也就是只能在一个地方登录。

  1. 在电脑C1上登录成功,我们记录下登录成功的账号和sessionId。
  2. 再到电脑C2上登录,认证成功。但我们在校验当前登录的账号的session时,发现已经存在一个登录状态的session,且与当前session不一样。于是我们就抛出异常。(当然,我们也可以选择把第一个session设置为失效,即强制退出)
  3. 回到C1登出。将对应账号的session移除。
  4. 再到C2登录,校验通过,允许登录。

如果做的完善一些的话,这个功能还应该加上:

每次请求都检查session是否失效,然后移除账号session记录。

多点登录方案分析

基于上述流程分析结果,我们就能得到如下结论

  • 需要一个管理账号session信息的组件
  • 需要一个新的过滤器来检查每个请求的session是否有效。
  • 登录成功时,校验账号的session个数。校验通过,就登记,否则就拒绝。
  • 登出成功时,移除账号的session记录。

从上面的流程,我们可以看到,这个功能涉及到登录和登出。所以我们最好把这个功能抽离出来,而不是都放到登录里面。但很明显我们必须要在登录跟登出使用到同一个组件,不然这session记录就容易出问题。

Spring的实现

  • SessionRegistry
    负责维护账号的session信息。当前只有一个实现:SessionRegistryImpl

    /*** 值得注意的是,他监听了AbstractSessionEvent,* 可以通过session事件来管理session信息。* 而这些事件,则是SpringBoot内嵌的Tomcat发布的。* @see HttpSessionListener* @see HttpSessionEventPublisher*/
    public class SessionRegistryImpl implements SessionRegistry, ApplicationListener<AbstractSessionEvent> {// <principal:Object,SessionIdSet>// 映射:登录的用户信息,sessionId集合private final ConcurrentMap<Object, Set<String>> principals;// <sessionId:Object,SessionInformation>// 映射:sessionId,session信息private final Map<String, SessionInformation> sessionIds;@Overridepublic void onApplicationEvent(AbstractSessionEvent event) {if (event instanceof SessionDestroyedEvent) {// 销毁session -- 通常是session超时SessionDestroyedEvent sessionDestroyedEvent = (SessionDestroyedEvent) event;String sessionId = sessionDestroyedEvent.getId();// 移除session信息removeSessionInformation(sessionId);}else if (event instanceof SessionIdChangedEvent) {// session变更 -- 登录成功后,sessionId会发生变化SessionIdChangedEvent sessionIdChangedEvent = (SessionIdChangedEvent) event;String oldSessionId = sessionIdChangedEvent.getOldSessionId();if (this.sessionIds.containsKey(oldSessionId)) {Object principal = this.sessionIds.get(oldSessionId).getPrincipal();// 移除老sessionremoveSessionInformation(oldSessionId);// 注册新sessionregisterNewSession(sessionIdChangedEvent.getNewSessionId(), principal);}}}}
    

    其最主要的接口行为:

    public interface SessionRegistry {// 获取某个账号/用户当前的所有sessionList<SessionInformation> getAllSessions(Object principal, boolean includeExpiredSessions);// 根据sessionId获取session信息SessionInformation getSessionInformation(String sessionId);// 注册新的sessionvoid registerNewSession(String sessionId, Object principal);// 刷新session时间void refreshLastRequest(String sessionId);// 移除sessionvoid removeSessionInformation(String sessionId);
    }
  • ConcurrentSessionFilter
    负责检查每个请求的session是否过期,如果过期,则从session注册器中移除。若没过期,就刷新时间。这样看的话,这个命名似乎有那么一点问题,因为他关注的是session是否过期。

    public class ConcurrentSessionFilter extends GenericFilterBean {private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)throws IOException, ServletException {HttpSession session = request.getSession(false);if (session != null) {// 通过session注册器获取session信息SessionInformation info = this.sessionRegistry.getSessionInformation(session.getId());if (info != null) {if (info.isExpired()) {// session已失效/过期,调用登出:就是要清理session信息doLogout(request, response);// 通过SessionInformationExpiredStrategy处理超时this.sessionInformationExpiredStrategy.onExpiredSessionDetected(new SessionInformationExpiredEvent(info, request, response));return;}// 没失效就刷新时间this.sessionRegistry.refreshLastRequest(info.getSessionId());}}chain.doFilter(request, response);}private void doLogout(HttpServletRequest request, HttpServletResponse response) {// 获取认证信息Authentication auth = this.securityContextHolderStrategy.getContext().getAuthentication();// 调用登出处理器this.handlers.logout(request, response, auth);}
    }
    
  • SessionAuthenticationStrategy
    在聊Session管理的时候对这个组件详细了解过。既然如此就跟大家一起复习一下。
    实际上,SpringSecurity构建了两个不同的组件来协助我们完成这一session并发控制功能。详见我们的Session管理SessionAuthenticationStrategy这一小节。

    1. ConcurrentSessionControlAuthenticationStrategy
      负责校验并发数量。
    2. RegisterSessionAuthenticationStrategy
      负责注册新的session。

不过,这区分之后,两个session策略的执行顺序就必须是先校验再注册。实际上,SpringSecurity也是如此配置的。感兴趣的不妨再回头看下Session管理的《SessionManagementConfigurer》这一小结。

小结

眼尖的同学可能发现了,既然SessionRegistryImpl都监听了session事件,那为啥还要ConcurrentSessionFilter干啥?SessionRegitryImpl通过事件不就能实现刷新session记录时间和移除过期session了。
这个问题,是因为默认情况下,spring mvc的HttpSessionEventPublisher组件并不会声明,因此没有作用,自然不会发布相关事件。
要生效也简单,只需要声明一下就行。

	@Beanpublic HttpSessionEventPublisher httpSessionEventPublisher() {return new HttpSessionEventPublisher();}

完整的流程

假设我们配置最大的session个数为1,也就是不允许多点登录。

  1. 用户在C1登录
  2. 进入认证过滤器UsernamePasswordAuthenticationFilter,登录成功,使用SessionAuthenticationStrategy处理session。于是,经过ConcurrentSessionControlAuthenticationStrategy校验并发数量通过。再经过RegisterSessionAuthenticationStrategy将session登记到SessionRegistry
  3. 用户再到C2登录
  4. 重复步骤2,但ConcurrentSessionControlAuthenticationStrategy检查发现超出数量限制。于是当前登录被拒绝,并抛出SessionAuthenticationException
  5. ExceptionTranslationFilter检测到认证异常,重置用户登录态。包括SecurityContext,并跳转到登录页面。

后记

给大家一个任务,如果让你不使用框架,自己写过滤器实现单点登录功能,会怎么做呢?不妨参考上面的流程试试看?

下次,我准备跟大家聊聊RememberMe功能。

这篇关于Spring Security之多点登录控制的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1136220

相关文章

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

Security OAuth2 单点登录流程

单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一注销(single sign-off)就是指

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

Java进阶13讲__第12讲_1/2

多线程、线程池 1.  线程概念 1.1  什么是线程 1.2  线程的好处 2.   创建线程的三种方式 注意事项 2.1  继承Thread类 2.1.1 认识  2.1.2  编码实现  package cn.hdc.oop10.Thread;import org.slf4j.Logger;import org.slf4j.LoggerFactory

JAVA智听未来一站式有声阅读平台听书系统小程序源码

智听未来,一站式有声阅读平台听书系统 🌟&nbsp;开篇:遇见未来,从“智听”开始 在这个快节奏的时代,你是否渴望在忙碌的间隙,找到一片属于自己的宁静角落?是否梦想着能随时随地,沉浸在知识的海洋,或是故事的奇幻世界里?今天,就让我带你一起探索“智听未来”——这一站式有声阅读平台听书系统,它正悄悄改变着我们的阅读方式,让未来触手可及! 📚&nbsp;第一站:海量资源,应有尽有 走进“智听