spring security 3.0的控制一个帐号只允许一次登录

spring security 3.0里面明确的说明了：
session-management段里面的concurrency-control是控制一个帐号最多允许登录多少次的，比如<concurrency-control max-sessions="1"/>就是一次，2当然是两次。
所有搜到的帖子，凡是提到concurrency-control这个的，我不知道有没有人试过真的好用吗？
我配置了以后发现根本就控制不住。

打开了springsecurity的debug日志，还是难以发现原因。
因为网上根本搜不到几个这方面的错误，让我误以为是我个人配置问题，就没有看代码；最后不得已挂上了spring security的代码一看，直接晕菜。
org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy
里面的checkAuthenticationAllowed方法，调用了sessionRegistry.getAllSessions,用authentication.getPrincipal()，也就是UserDetails实现对象。
但是sessionRegistry存储的时候使用的是Hash的数据结构，所以UserDetails实现类必须重写equals和hashCode。

另外网上发帖的基本就是抄来抄去，其实只要你加了concurrency-control配置，即使不写max-sessions属性，在org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy里面maximumSessions的默认值是1!

写下来省的后人走弯路。

评论

24 楼 lihao312 2013-07-16  

能发个完整的实例吗 谢谢

23 楼 jackyrong 2013-04-15  

有无办法再进一步,就是同一个浏览器,同一台机器,也不给同一个用户登录2次?

22 楼 moving1023 2011-11-09  

<http auto-config="true" entry-point-ref="loginPageEntryPoint" access-denied-page="/403.jsp"><!-- 当访问被拒绝时，会转到403.jsp -->
        <intercept-url pattern="/login/login.jsp" filters="none" />
        <intercept-url pattern="/JS/**" filters="none"/>
        <intercept-url pattern="/CSS/**" filters="none"/>
        <intercept-url pattern="/login/images/**" filters="none"/>
        <intercept-url pattern="/**" access = "IS_AUTHENTICATED_FULLY"/>
        <form-login
        login-page="/login/login.jsp"
        authentication-failure-handler-ref="failureHandler"
        authentication-success-handler-ref="successHandler"
        login-processing-url="/j_spring_security_check"
        />
        <logout logout-success-url="/login/login.jsp"/>
        <!-- 会话管理  暂时不能用 -->
        <session-management>
<concurrency-control error-if-maximum-exceeded="true"  max-sessions="1"/>
    </session-management>

        <custom-filter
        ref="myFilterSecurityInterceptor"
        before="FILTER_SECURITY_INTERCEPTOR"/>
       
       
    </http>


我这样配置，但还是能够登入，不会踢出来

21 楼 imp860124 2011-01-07  

<div class="quote_title">flashing 写道</div>
<div class="quote_div">
<div class="quote_title">imp860124 写道</div>
<div class="quote_div">顶楼主，我也是直接用自己的User实现的UserDetails，结果就是控制不了同一用户的多次登录。终于解决了。下面还得解决角色资源的动态刷新，不知道各位有什么好的方法？我的角色资源是通过自己的服务类从数据库读取的。</div>
<br><br>这个也是我想做但是还没做的一个部分。应该是遍历session，把对应的用户拿出来，把grantedauthority替换掉就可以，前提是如果spring security没有cache这部分数据的话。当然如果有cache还得清空一下。</div>
<p> </p>
<p>   这样用户和角色是可以刷新，角色和资源的变动也如此刷新吗？这个遍历就有点不好看了吧。。。我看贩卖你168临远大哥的文档上有种方式是重新构造一次自定义的FilterSecurityInterceptor。即调用FilterSecurityInterceptor.setSecurityMetadataSource(fids)，fids是自定义的FilterInvocationSecurityMetadataSource，重新获取一次会从数据库获取最新的用户角色资源的对应。就是我在获取这个FilterInvocationSecurityMetadataSource时总报错，还在解决中的。</p>

20 楼 flashing 2011-01-06  

lai555 写道

flashing 写道

lai555 写道

不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?

你是这么写的吧：
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。

因为你关闭浏览器不等于session生命周期结束。

This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).) 
这样就防止不了一个用户只能登录一次了.

可以控制。已经登录的情况下，下一个登录可以失败或者踢掉前一个，踢掉才是正确选择。

19 楼 lai555 2011-01-06  

flashing 写道

lai555 写道

不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?

你是这么写的吧：
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。

因为你关闭浏览器不等于session生命周期结束。

This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).) 
这样就防止不了一个用户只能登录一次了.

18 楼 抛出异常的爱 2011-01-01  

遇到过这样的问题
用check的方式把session数据放库里多用了几条sql

17 楼 flashing 2011-01-01  

imp860124 写道

顶楼主，我也是直接用自己的User实现的UserDetails，结果就是控制不了同一用户的多次登录。终于解决了。下面还得解决角色资源的动态刷新，不知道各位有什么好的方法？我的角色资源是通过自己的服务类从数据库读取的。

这个也是我想做但是还没做的一个部分。应该是遍历session，把对应的用户拿出来，把grantedauthority替换掉就可以，前提是如果spring security没有cache这部分数据的话。当然如果有cache还得清空一下。

16 楼 imp860124 2010-12-31  

顶楼主，我也是直接用自己的User实现的UserDetails，结果就是控制不了同一用户的多次登录。终于解决了。下面还得解决角色资源的动态刷新，不知道各位有什么好的方法？我的角色资源是通过自己的服务类从数据库读取的。

15 楼 kaowww153 2010-12-14  

直接继承的user,没发现楼主所说的问题。

14 楼 flashing 2010-12-04  

lai555 写道

不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?

你是这么写的吧：
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。

因为你关闭浏览器不等于session生命周期结束。

13 楼 lai555 2010-12-03  

不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?

12 楼 flashing 2010-12-01  

whao189 写道

不知道 楼主 能否把 demo 上传一下 小弟想具体的 学习一下

膜拜！！！

直接看springside吧，白衣做很的好了，直接拿来你的项目就可以达到一个很高的高度了。

11 楼 whao189 2010-11-30  

不知道 楼主 能否把 demo 上传一下 小弟想具体的 学习一下

膜拜！！！

10 楼 flashing 2010-11-29  

caoyangx 写道

flashing 写道

用于清除敏感数据的，我觉得其实也没啥大用，就是定义这么个接口提供这么个机会。

再请教一下，不知道你有没有用RememberMe这个功能，就是利用cookie记录登录信息，不过自从session并发好用后，就再也记不住我的登录信息了。
你遇到过类似的问题吗？

这个我没细究，但是我记得好像在搜资料的时候遇到过这个问题。
如果你不着急等，我过半个月有时间的时候会继续处理这部分代码，到时候会研究一下。
或者你要搞定了，一定记得告诉我：）

9 楼 caoyangx 2010-11-27  

flashing 写道

用于清除敏感数据的，我觉得其实也没啥大用，就是定义这么个接口提供这么个机会。

再请教一下，不知道你有没有用RememberMe这个功能，就是利用cookie记录登录信息，不过自从session并发好用后，就再也记不住我的登录信息了。
你遇到过类似的问题吗？

8 楼 flashing 2010-11-27  

用于清除敏感数据的，我觉得其实也没啥大用，就是定义这么个接口提供这么个机会。

7 楼 caoyangx 2010-11-27  

flashing 写道

caoyangx 写道

你早说啊，这个问题我在去年10月用springsecurity3时候就发现了，从测试版一直用到正式版，还是没解决，一直以为是bug，后来发现是UserDetails的问题，在实现登录用户时，如果你自己的user实体实现UserDetails，session并发就会失效，使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。

不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的，而且这个项目是使用Email登录，所以也没用username属性。

弱弱问一下，CredentialsContainer这个接口是做什么？

6 楼 flashing 2010-11-26  

caoyangx 写道

你早说啊，这个问题我在去年10月用springsecurity3时候就发现了，从测试版一直用到正式版，还是没解决，一直以为是bug，后来发现是UserDetails的问题，在实现登录用户时，如果你自己的user实体实现UserDetails，session并发就会失效，使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。

不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的，而且这个项目是使用Email登录，所以也没用username属性。

5 楼 caoyangx 2010-11-26  

你早说啊，这个问题我在去年10月用springsecurity3时候就发现了，从测试版一直用到正式版，还是没解决，一直以为是bug，后来发现是UserDetails的问题，在实现登录用户时，如果你自己的user实体实现UserDetails，session并发就会失效，使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。