- 浏览: 355164 次
- 性别:
- 来自: 大连
最新评论
-
f756692193:
你好,这个问题解决了吗??我也遇到了。。当一个生产者,一个消费 ...
rabbitmq的几个小问题,被郁闷了 -
flashing:
jz20110918 写道目前已经有了多个证书的情况下需要考虑 ...
CentOS 7下面OpenVPN和OpenSSL的问题总结 -
flashing:
jz20110918 写道flashing 写道jz20110 ...
CentOS 7下面OpenVPN和OpenSSL的问题总结 -
jz20110918:
目前已经有了多个证书的情况下需要考虑兼容性,所以不知楼主有没有 ...
CentOS 7下面OpenVPN和OpenSSL的问题总结 -
jz20110918:
flashing 写道jz20110918 写道您好,我现在也 ...
CentOS 7下面OpenVPN和OpenSSL的问题总结
spring security 3.0里面明确的说明了:
session-management段里面的concurrency-control是控制一个帐号最多允许登录多少次的,比如<concurrency-control max-sessions="1"/>就是一次,2当然是两次。
所有搜到的帖子,凡是提到concurrency-control这个的,我不知道有没有人试过真的好用吗?
我配置了以后发现根本就控制不住。
打开了springsecurity的debug日志,还是难以发现原因。
因为网上根本搜不到几个这方面的错误,让我误以为是我个人配置问题,就没有看代码;最后不得已挂上了spring security的代码一看,直接晕菜。
org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy
里面的checkAuthenticationAllowed方法,调用了sessionRegistry.getAllSessions,用authentication.getPrincipal(),也就是UserDetails实现对象。
但是sessionRegistry存储的时候使用的是Hash的数据结构,所以UserDetails实现类必须重写equals和hashCode。
另外网上发帖的基本就是抄来抄去,其实只要你加了concurrency-control配置,即使不写max-sessions属性,在org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy里面maximumSessions的默认值是1!
写下来省的后人走弯路。
你是这么写的吧:
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。
因为你关闭浏览器不等于session生命周期结束。
This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).)
这样就防止不了一个用户只能登录一次了.
可以控制。已经登录的情况下,下一个登录可以失败或者踢掉前一个,踢掉才是正确选择。
你是这么写的吧:
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。
因为你关闭浏览器不等于session生命周期结束。
This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).)
这样就防止不了一个用户只能登录一次了.
这个也是我想做但是还没做的一个部分。应该是遍历session,把对应的用户拿出来,把grantedauthority替换掉就可以,前提是如果spring security没有cache这部分数据的话。当然如果有cache还得清空一下。
你是这么写的吧:
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。
因为你关闭浏览器不等于session生命周期结束。
直接看springside吧,白衣做很的好了,直接拿来你的项目就可以达到一个很高的高度了。
再请教一下,不知道你有没有用RememberMe这个功能,就是利用cookie记录登录信息,不过自从session并发好用后,就再也记不住我的登录信息了。
你遇到过类似的问题吗?
这个我没细究,但是我记得好像在搜资料的时候遇到过这个问题。
如果你不着急等,我过半个月有时间的时候会继续处理这部分代码,到时候会研究一下。
或者你要搞定了,一定记得告诉我:)
再请教一下,不知道你有没有用RememberMe这个功能,就是利用cookie记录登录信息,不过自从session并发好用后,就再也记不住我的登录信息了。
你遇到过类似的问题吗?
不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的,而且这个项目是使用Email登录,所以也没用username属性。
弱弱问一下,CredentialsContainer这个接口是做什么?
不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的,而且这个项目是使用Email登录,所以也没用username属性。
session-management段里面的concurrency-control是控制一个帐号最多允许登录多少次的,比如<concurrency-control max-sessions="1"/>就是一次,2当然是两次。
所有搜到的帖子,凡是提到concurrency-control这个的,我不知道有没有人试过真的好用吗?
我配置了以后发现根本就控制不住。
打开了springsecurity的debug日志,还是难以发现原因。
因为网上根本搜不到几个这方面的错误,让我误以为是我个人配置问题,就没有看代码;最后不得已挂上了spring security的代码一看,直接晕菜。
org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy
里面的checkAuthenticationAllowed方法,调用了sessionRegistry.getAllSessions,用authentication.getPrincipal(),也就是UserDetails实现对象。
但是sessionRegistry存储的时候使用的是Hash的数据结构,所以UserDetails实现类必须重写equals和hashCode。
另外网上发帖的基本就是抄来抄去,其实只要你加了concurrency-control配置,即使不写max-sessions属性,在org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy里面maximumSessions的默认值是1!
写下来省的后人走弯路。
评论
24 楼
lihao312
2013-07-16
能发个完整的实例吗 谢谢
23 楼
jackyrong
2013-04-15
有无办法再进一步,就是同一个浏览器,同一台机器,也不给同一个用户登录2次?
22 楼
moving1023
2011-11-09
<http auto-config="true" entry-point-ref="loginPageEntryPoint" access-denied-page="/403.jsp"><!-- 当访问被拒绝时,会转到403.jsp -->
<intercept-url pattern="/login/login.jsp" filters="none" />
<intercept-url pattern="/JS/**" filters="none"/>
<intercept-url pattern="/CSS/**" filters="none"/>
<intercept-url pattern="/login/images/**" filters="none"/>
<intercept-url pattern="/**" access = "IS_AUTHENTICATED_FULLY"/>
<form-login
login-page="/login/login.jsp"
authentication-failure-handler-ref="failureHandler"
authentication-success-handler-ref="successHandler"
login-processing-url="/j_spring_security_check"
/>
<logout logout-success-url="/login/login.jsp"/>
<!-- 会话管理 暂时不能用 -->
<session-management>
<concurrency-control error-if-maximum-exceeded="true" max-sessions="1"/>
</session-management>
<custom-filter
ref="myFilterSecurityInterceptor"
before="FILTER_SECURITY_INTERCEPTOR"/>
</http>
我这样配置,但还是能够登入,不会踢出来
<intercept-url pattern="/login/login.jsp" filters="none" />
<intercept-url pattern="/JS/**" filters="none"/>
<intercept-url pattern="/CSS/**" filters="none"/>
<intercept-url pattern="/login/images/**" filters="none"/>
<intercept-url pattern="/**" access = "IS_AUTHENTICATED_FULLY"/>
<form-login
login-page="/login/login.jsp"
authentication-failure-handler-ref="failureHandler"
authentication-success-handler-ref="successHandler"
login-processing-url="/j_spring_security_check"
/>
<logout logout-success-url="/login/login.jsp"/>
<!-- 会话管理 暂时不能用 -->
<session-management>
<concurrency-control error-if-maximum-exceeded="true" max-sessions="1"/>
</session-management>
<custom-filter
ref="myFilterSecurityInterceptor"
before="FILTER_SECURITY_INTERCEPTOR"/>
</http>
我这样配置,但还是能够登入,不会踢出来
21 楼
imp860124
2011-01-07
<div class="quote_title">flashing 写道</div>
<div class="quote_div">
<div class="quote_title">imp860124 写道</div>
<div class="quote_div">顶楼主,我也是直接用自己的User实现的UserDetails,结果就是控制不了同一用户的多次登录。终于解决了。下面还得解决角色资源的动态刷新,不知道各位有什么好的方法?我的角色资源是通过自己的服务类从数据库读取的。</div>
<br><br>这个也是我想做但是还没做的一个部分。应该是遍历session,把对应的用户拿出来,把grantedauthority替换掉就可以,前提是如果spring security没有cache这部分数据的话。当然如果有cache还得清空一下。</div>
<p> </p>
<p> 这样用户和角色是可以刷新,角色和资源的变动也如此刷新吗?这个遍历就有点不好看了吧。。。我看贩卖你168临远大哥的文档上有种方式是重新构造一次自定义的FilterSecurityInterceptor。即调用FilterSecurityInterceptor.setSecurityMetadataSource(fids),fids是自定义的FilterInvocationSecurityMetadataSource,重新获取一次会从数据库获取最新的用户角色资源的对应。就是我在获取这个FilterInvocationSecurityMetadataSource时总报错,还在解决中的。</p>
<div class="quote_div">
<div class="quote_title">imp860124 写道</div>
<div class="quote_div">顶楼主,我也是直接用自己的User实现的UserDetails,结果就是控制不了同一用户的多次登录。终于解决了。下面还得解决角色资源的动态刷新,不知道各位有什么好的方法?我的角色资源是通过自己的服务类从数据库读取的。</div>
<br><br>这个也是我想做但是还没做的一个部分。应该是遍历session,把对应的用户拿出来,把grantedauthority替换掉就可以,前提是如果spring security没有cache这部分数据的话。当然如果有cache还得清空一下。</div>
<p> </p>
<p> 这样用户和角色是可以刷新,角色和资源的变动也如此刷新吗?这个遍历就有点不好看了吧。。。我看贩卖你168临远大哥的文档上有种方式是重新构造一次自定义的FilterSecurityInterceptor。即调用FilterSecurityInterceptor.setSecurityMetadataSource(fids),fids是自定义的FilterInvocationSecurityMetadataSource,重新获取一次会从数据库获取最新的用户角色资源的对应。就是我在获取这个FilterInvocationSecurityMetadataSource时总报错,还在解决中的。</p>
20 楼
flashing
2011-01-06
lai555 写道
flashing 写道
lai555 写道
不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?
你是这么写的吧:
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。
因为你关闭浏览器不等于session生命周期结束。
This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).)
这样就防止不了一个用户只能登录一次了.
可以控制。已经登录的情况下,下一个登录可以失败或者踢掉前一个,踢掉才是正确选择。
19 楼
lai555
2011-01-06
flashing 写道
lai555 写道
不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?
你是这么写的吧:
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。
因为你关闭浏览器不等于session生命周期结束。
This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).)
这样就防止不了一个用户只能登录一次了.
18 楼
抛出异常的爱
2011-01-01
遇到过这样的问题
用check的方式把session数据放库里多用了几条sql
用check的方式把session数据放库里多用了几条sql
17 楼
flashing
2011-01-01
imp860124 写道
顶楼主,我也是直接用自己的User实现的UserDetails,结果就是控制不了同一用户的多次登录。终于解决了。下面还得解决角色资源的动态刷新,不知道各位有什么好的方法?我的角色资源是通过自己的服务类从数据库读取的。
这个也是我想做但是还没做的一个部分。应该是遍历session,把对应的用户拿出来,把grantedauthority替换掉就可以,前提是如果spring security没有cache这部分数据的话。当然如果有cache还得清空一下。
16 楼
imp860124
2010-12-31
顶楼主,我也是直接用自己的User实现的UserDetails,结果就是控制不了同一用户的多次登录。终于解决了。下面还得解决角色资源的动态刷新,不知道各位有什么好的方法?我的角色资源是通过自己的服务类从数据库读取的。
15 楼
kaowww153
2010-12-14
直接继承的user,没发现楼主所说的问题。
14 楼
flashing
2010-12-04
lai555 写道
不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?
你是这么写的吧:
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。
因为你关闭浏览器不等于session生命周期结束。
13 楼
lai555
2010-12-03
不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?
12 楼
flashing
2010-12-01
whao189 写道
不知道 楼主 能否把 demo 上传一下 小弟想具体的 学习一下
膜拜!!!
膜拜!!!
直接看springside吧,白衣做很的好了,直接拿来你的项目就可以达到一个很高的高度了。
11 楼
whao189
2010-11-30
不知道 楼主 能否把 demo 上传一下 小弟想具体的 学习一下
膜拜!!!
膜拜!!!
10 楼
flashing
2010-11-29
caoyangx 写道
flashing 写道
用于清除敏感数据的,我觉得其实也没啥大用,就是定义这么个接口提供这么个机会。
再请教一下,不知道你有没有用RememberMe这个功能,就是利用cookie记录登录信息,不过自从session并发好用后,就再也记不住我的登录信息了。
你遇到过类似的问题吗?
这个我没细究,但是我记得好像在搜资料的时候遇到过这个问题。
如果你不着急等,我过半个月有时间的时候会继续处理这部分代码,到时候会研究一下。
或者你要搞定了,一定记得告诉我:)
9 楼
caoyangx
2010-11-27
flashing 写道
用于清除敏感数据的,我觉得其实也没啥大用,就是定义这么个接口提供这么个机会。
再请教一下,不知道你有没有用RememberMe这个功能,就是利用cookie记录登录信息,不过自从session并发好用后,就再也记不住我的登录信息了。
你遇到过类似的问题吗?
8 楼
flashing
2010-11-27
用于清除敏感数据的,我觉得其实也没啥大用,就是定义这么个接口提供这么个机会。
7 楼
caoyangx
2010-11-27
flashing 写道
caoyangx 写道
你早说啊,这个问题我在去年10月用springsecurity3时候就发现了,从测试版一直用到正式版,还是没解决,一直以为是bug,后来发现是UserDetails的问题,在实现登录用户时,如果你自己的user实体实现UserDetails,session并发就会失效,使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。
你的文章来的太晚了。。。
不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的,而且这个项目是使用Email登录,所以也没用username属性。
弱弱问一下,CredentialsContainer这个接口是做什么?
6 楼
flashing
2010-11-26
caoyangx 写道
你早说啊,这个问题我在去年10月用springsecurity3时候就发现了,从测试版一直用到正式版,还是没解决,一直以为是bug,后来发现是UserDetails的问题,在实现登录用户时,如果你自己的user实体实现UserDetails,session并发就会失效,使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。
你的文章来的太晚了。。。
不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的,而且这个项目是使用Email登录,所以也没用username属性。
5 楼
caoyangx
2010-11-26
你早说啊,这个问题我在去年10月用springsecurity3时候就发现了,从测试版一直用到正式版,还是没解决,一直以为是bug,后来发现是UserDetails的问题,在实现登录用户时,如果你自己的user实体实现UserDetails,session并发就会失效,使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。
你的文章来的太晚了。。。
发表评论
-
秀一个神器IDEA的诡异BUG
2015-09-04 21:07 628话说我仍然是什么软件都能玩脱的选手... IDEA 14. ... -
Java语言的进化远远不够
2015-09-04 19:34 641最近用spring-boot做了一个项目,和grails相比 ... -
转载的:数字签名是什么?
2015-06-14 18:59 599http://www.ruanyifeng.com/blo ... -
研究了两个Console进度条和进度提示的小技巧
2015-05-02 21:32 750今天用maven下载项目的时候,突然发现这么多年以来我竟然 ... -
Grails 2.5.0/2.4.5 升级历险记 & JAVA7/8的一个小bug
2015-03-27 12:12 2640因为手头一个grails项目的性能有点问题,打算大幅度调整 ... -
如何快速生成pdf文件
2014-12-17 08:10 14如果要生成pdf文件,java里面itext当仁不让是首选。不 ... -
如何快速生成pdf文件
2014-12-17 08:10 698如果要生成pdf文件,java里面itext当仁不让是首选。不 ... -
通用池:commons pool 2
2014-05-28 13:51 20757首先感谢下文作者,虽然没看你的内容,但是参考了参数。 A ... -
Grails dirty check失败导致不发送update sql
2013-11-22 10:13 949更新: 经过@meltingsnower的提示,发现se ... -
JAVA3D 看来只能运行在桌面
2012-11-22 10:50 1547最近一个项目用Java3D写了个分析3D模型的组件,用于3D打 ... -
Spring,随想
2012-02-22 20:57 1136春天来了,正好在从新看springframework 3.1。 ... -
Vector和ArrayList的本质区别到底是什么?
2011-02-24 20:06 3175昨天又看人讨论这个问 ... -
Guava的一个介绍文档
2010-12-27 20:49 1293看了感觉相当不错,一直都知道google Guava这玩意很好 ... -
使用javassist处理字节码混淆过的class文件
2010-09-14 21:05 2297java程序员,有时候为了某种特定目的比如调试或者增强代码,不 ... -
grails开发最好的工具大概是spring sts了,更新
2010-05-30 13:53 1306http://www.grails.org/STS+Integ ... -
swingx的jdic的浏览器控件的混用awt和swing的z-order的bug
2010-03-27 15:15 1116这两个帖子应该可以解决之,mark一下。 http:/ ... -
ORACLE记录所有的SQL
2009-10-28 08:54 1039在$ORACLE_HOME/rdbms/admin/下 需要打 ... -
java -D如何一次性加入多个jar
2009-10-08 12:55 1410java -Djava.ext.dirs=lib YourMa ...
相关推荐
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理。它提供了认证、授权和访问控制功能,使得开发者可以轻松地在应用程序中实现复杂的安全需求。在3.0版本中,Spring Security 已经相当成熟,提供...
### Spring Security 3.0权限控制详解 Spring Security是Spring框架的一个强大且高度可定制的安全模块,用于保护基于Web和非Web的应用程序。版本3.0的发布带来了许多改进和新特性,使其成为处理安全需求的首选解决...
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于 Java 的应用程序。在3.0版本中,它提供了许多关键功能,旨在确保应用程序的安全性,防止未经授权的访问,并实现用户身份验证和...
标题 "springMVC+springSecurity3.0+maven" 指的是一个集成项目,它结合了Spring MVC、Spring Security 3.0和Maven这三个关键的Java开发工具和技术。让我们逐一深入理解这些技术及其相互之间的关系。 首先,Spring ...
SpringSecurity3.0是Spring框架的一个重要扩展,主要用于企业级应用的安全管理,提供了一套全面的访问控制和安全解决方案。本教程将深入探讨SpringSecurity3.0的核心概念、配置及其实现方式,帮助开发者理解并掌握...
总的来说,"SpringSecurity3.0 Demo"项目是一个深入学习和实践SpringSecurity的好机会,通过对这个项目的研究,我们可以了解到SpringSecurity如何保障应用程序的安全,以及如何在实际开发中有效地利用它的功能。
标题中的“利用Spring Security控制同一个用户只能一次登录”是指在基于Spring Security的Web应用程序中实现单点登录(Single Sign-On, SSO)的功能,确保同一时间只有一个设备或浏览器会话可以登录同一用户的账户。...
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,广泛应用于Java企业级应用的安全管理。Spring Security 3.0.x 版本是该框架的一个重要里程碑,它提供了许多安全特性和改进,使得开发者能够更加...
Spring Security 3.0 是一个强大的安全框架,用于在Java应用程序中实现全面的安全管理解决方案。它专注于提供身份验证、授权和访问控制功能,确保只有经过验证的用户才能访问受保护的资源。本教程将深入探讨Spring ...
Spring 3.0是Spring框架的一个重大更新,引入了许多新特性和改进。它增强了IoC(Inversion of Control)容器,使得依赖注入更加灵活。AOP(Aspect Oriented Programming)支持也得到了扩展,不仅支持传统的基于注解...
spring-security-web-3.0 spring-security-taglibs-3.0 spring-security-openid-3.0 spring-security-core-3.0 spring-security-config-3.0 spring-security-aspects-3.0 spring-security-acl-3.0
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。它为Web应用和企业级应用提供了全面的安全解决方案。这个框架允许开发者轻松地实现用户认证、权限授权、安全配置以及其他...
SpringSecurity3.0相对比较稳定。本实例包含SpringSecurity3.0的基本配置,包含所需的Jar包和mysql数据库文件,直接导入myeclipes中并导入数据库即可运行,配置文件简单易懂,适合SpringSecurity初学者配置入门。...
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理。它为Web应用程序提供了全面的身份验证、授权和访问控制功能。在Spring Security 3.0版本中,这个框架进行了大量的改进和增强,以适应不断变化的...
Spring Security 3.0是该框架的一个重要版本,提供了许多安全控制功能,用于保护Web应用程序不受到黑客的攻击。 ### Spring Security 3.0入门知识点: 1. **Spring Security概述**: Spring Security是一个提供...
教你使用 SpringSecurity 3.0 一步一步教你使用SpringSecurity,从保护web应用到保护业务方法调用
Spring Security 是一个强大的Java安全框架,它为Web应用程序提供了全面的安全解决方案。在3.0.x版本中,"remember-me"功能是Spring Security提供的一种便捷方式,允许用户在关闭浏览器后仍能在一段时间内保持登录...
在企业级应用开发中,Spring Security作为Spring框架的一个子项目,提供了一套完整的权限管理和安全性解决方案。它不仅能够处理身份验证(authentication)和授权(authorization),还提供了对加密、CSRF保护、会话...
Spring Boot是Spring生态系统中的一个核心组件,它通过自动化配置、起步依赖和内嵌式Web服务器等功能,极大地简化了Java应用的开发。 在Spring Boot 3.0版本中,我们可以期待一系列更新和改进,包括性能提升、新...