`
flashing
  • 浏览: 355164 次
  • 性别: Icon_minigender_1
  • 来自: 大连
社区版块
存档分类
最新评论

spring security 3.0的控制一个帐号只允许一次登录

阅读更多
spring security 3.0里面明确的说明了:
session-management段里面的concurrency-control是控制一个帐号最多允许登录多少次的,比如<concurrency-control max-sessions="1"/>就是一次,2当然是两次。
所有搜到的帖子,凡是提到concurrency-control这个的,我不知道有没有人试过真的好用吗?
我配置了以后发现根本就控制不住。

打开了springsecurity的debug日志,还是难以发现原因。
因为网上根本搜不到几个这方面的错误,让我误以为是我个人配置问题,就没有看代码;最后不得已挂上了spring security的代码一看,直接晕菜。
org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy
里面的checkAuthenticationAllowed方法,调用了sessionRegistry.getAllSessions,用authentication.getPrincipal(),也就是UserDetails实现对象。
但是sessionRegistry存储的时候使用的是Hash的数据结构,所以UserDetails实现类必须重写equals和hashCode。

另外网上发帖的基本就是抄来抄去,其实只要你加了concurrency-control配置,即使不写max-sessions属性,在org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy里面maximumSessions的默认值是1!

写下来省的后人走弯路。
分享到:
评论
24 楼 lihao312 2013-07-16  
能发个完整的实例吗 谢谢
23 楼 jackyrong 2013-04-15  
有无办法再进一步,就是同一个浏览器,同一台机器,也不给同一个用户登录2次?
22 楼 moving1023 2011-11-09  
<http auto-config="true" entry-point-ref="loginPageEntryPoint" access-denied-page="/403.jsp"><!-- 当访问被拒绝时,会转到403.jsp -->
        <intercept-url pattern="/login/login.jsp" filters="none" />
        <intercept-url pattern="/JS/**" filters="none"/>
        <intercept-url pattern="/CSS/**" filters="none"/>
        <intercept-url pattern="/login/images/**" filters="none"/>
        <intercept-url pattern="/**" access = "IS_AUTHENTICATED_FULLY"/>
        <form-login
        login-page="/login/login.jsp"
        authentication-failure-handler-ref="failureHandler"
        authentication-success-handler-ref="successHandler"
        login-processing-url="/j_spring_security_check"
        />
        <logout logout-success-url="/login/login.jsp"/>
        <!-- 会话管理  暂时不能用 -->
        <session-management>
<concurrency-control error-if-maximum-exceeded="true"  max-sessions="1"/>
    </session-management>

        <custom-filter
        ref="myFilterSecurityInterceptor"
        before="FILTER_SECURITY_INTERCEPTOR"/>
       
       
    </http>


我这样配置,但还是能够登入,不会踢出来
21 楼 imp860124 2011-01-07  
<div class="quote_title">flashing 写道</div>
<div class="quote_div">
<div class="quote_title">imp860124 写道</div>
<div class="quote_div">顶楼主,我也是直接用自己的User实现的UserDetails,结果就是控制不了同一用户的多次登录。终于解决了。下面还得解决角色资源的动态刷新,不知道各位有什么好的方法?我的角色资源是通过自己的服务类从数据库读取的。</div>
<br><br>这个也是我想做但是还没做的一个部分。应该是遍历session,把对应的用户拿出来,把grantedauthority替换掉就可以,前提是如果spring security没有cache这部分数据的话。当然如果有cache还得清空一下。</div>
<p> </p>
<p>   这样用户和角色是可以刷新,角色和资源的变动也如此刷新吗?这个遍历就有点不好看了吧。。。我看贩卖你168临远大哥的文档上有种方式是重新构造一次自定义的FilterSecurityInterceptor。即调用FilterSecurityInterceptor.setSecurityMetadataSource(fids),fids是自定义的FilterInvocationSecurityMetadataSource,重新获取一次会从数据库获取最新的用户角色资源的对应。就是我在获取这个FilterInvocationSecurityMetadataSource时总报错,还在解决中的。</p>
20 楼 flashing 2011-01-06  
lai555 写道
flashing 写道
lai555 写道
不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?

你是这么写的吧:
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。

因为你关闭浏览器不等于session生命周期结束。

This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).) 
这样就防止不了一个用户只能登录一次了.


可以控制。已经登录的情况下,下一个登录可以失败或者踢掉前一个,踢掉才是正确选择。
19 楼 lai555 2011-01-06  
flashing 写道
lai555 写道
不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?

你是这么写的吧:
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。

因为你关闭浏览器不等于session生命周期结束。

This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).) 
这样就防止不了一个用户只能登录一次了.
18 楼 抛出异常的爱 2011-01-01  
遇到过这样的问题
用check的方式把session数据放库里多用了几条sql
17 楼 flashing 2011-01-01  
imp860124 写道
顶楼主,我也是直接用自己的User实现的UserDetails,结果就是控制不了同一用户的多次登录。终于解决了。下面还得解决角色资源的动态刷新,不知道各位有什么好的方法?我的角色资源是通过自己的服务类从数据库读取的。


这个也是我想做但是还没做的一个部分。应该是遍历session,把对应的用户拿出来,把grantedauthority替换掉就可以,前提是如果spring security没有cache这部分数据的话。当然如果有cache还得清空一下。
16 楼 imp860124 2010-12-31  
顶楼主,我也是直接用自己的User实现的UserDetails,结果就是控制不了同一用户的多次登录。终于解决了。下面还得解决角色资源的动态刷新,不知道各位有什么好的方法?我的角色资源是通过自己的服务类从数据库读取的。
15 楼 kaowww153 2010-12-14  
直接继承的user,没发现楼主所说的问题。
14 楼 flashing 2010-12-04  
lai555 写道
不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?

你是这么写的吧:
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。

因为你关闭浏览器不等于session生命周期结束。
13 楼 lai555 2010-12-03  
不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?
12 楼 flashing 2010-12-01  
whao189 写道
不知道 楼主 能否把 demo 上传一下 小弟想具体的 学习一下

膜拜!!!

直接看springside吧,白衣做很的好了,直接拿来你的项目就可以达到一个很高的高度了。
11 楼 whao189 2010-11-30  
不知道 楼主 能否把 demo 上传一下 小弟想具体的 学习一下

膜拜!!!
10 楼 flashing 2010-11-29  
caoyangx 写道
flashing 写道
用于清除敏感数据的,我觉得其实也没啥大用,就是定义这么个接口提供这么个机会。

再请教一下,不知道你有没有用RememberMe这个功能,就是利用cookie记录登录信息,不过自从session并发好用后,就再也记不住我的登录信息了。
你遇到过类似的问题吗?

这个我没细究,但是我记得好像在搜资料的时候遇到过这个问题。
如果你不着急等,我过半个月有时间的时候会继续处理这部分代码,到时候会研究一下。
或者你要搞定了,一定记得告诉我:)
9 楼 caoyangx 2010-11-27  
flashing 写道
用于清除敏感数据的,我觉得其实也没啥大用,就是定义这么个接口提供这么个机会。

再请教一下,不知道你有没有用RememberMe这个功能,就是利用cookie记录登录信息,不过自从session并发好用后,就再也记不住我的登录信息了。
你遇到过类似的问题吗?
8 楼 flashing 2010-11-27  
用于清除敏感数据的,我觉得其实也没啥大用,就是定义这么个接口提供这么个机会。
7 楼 caoyangx 2010-11-27  
flashing 写道
caoyangx 写道
你早说啊,这个问题我在去年10月用springsecurity3时候就发现了,从测试版一直用到正式版,还是没解决,一直以为是bug,后来发现是UserDetails的问题,在实现登录用户时,如果你自己的user实体实现UserDetails,session并发就会失效,使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。

不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的,而且这个项目是使用Email登录,所以也没用username属性。

弱弱问一下,CredentialsContainer这个接口是做什么?
6 楼 flashing 2010-11-26  
caoyangx 写道
你早说啊,这个问题我在去年10月用springsecurity3时候就发现了,从测试版一直用到正式版,还是没解决,一直以为是bug,后来发现是UserDetails的问题,在实现登录用户时,如果你自己的user实体实现UserDetails,session并发就会失效,使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。

不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的,而且这个项目是使用Email登录,所以也没用username属性。
5 楼 caoyangx 2010-11-26  
你早说啊,这个问题我在去年10月用springsecurity3时候就发现了,从测试版一直用到正式版,还是没解决,一直以为是bug,后来发现是UserDetails的问题,在实现登录用户时,如果你自己的user实体实现UserDetails,session并发就会失效,使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。

相关推荐

    spring security3.0所需要的最精简的jar包

    Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理。它提供了认证、授权和访问控制功能,使得开发者可以轻松地在应用程序中实现复杂的安全需求。在3.0版本中,Spring Security 已经相当成熟,提供...

    spring security3.0帮助文档

    ### Spring Security 3.0权限控制详解 Spring Security是Spring框架的一个强大且高度可定制的安全模块,用于保护基于Web和非Web的应用程序。版本3.0的发布带来了许多改进和新特性,使其成为处理安全需求的首选解决...

    spring security3.0 demo

    Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于 Java 的应用程序。在3.0版本中,它提供了许多关键功能,旨在确保应用程序的安全性,防止未经授权的访问,并实现用户身份验证和...

    springMVC+springSecurity3.0+maven

    标题 "springMVC+springSecurity3.0+maven" 指的是一个集成项目,它结合了Spring MVC、Spring Security 3.0和Maven这三个关键的Java开发工具和技术。让我们逐一深入理解这些技术及其相互之间的关系。 首先,Spring ...

    SpringSecurity3.0 教程

    SpringSecurity3.0是Spring框架的一个重要扩展,主要用于企业级应用的安全管理,提供了一套全面的访问控制和安全解决方案。本教程将深入探讨SpringSecurity3.0的核心概念、配置及其实现方式,帮助开发者理解并掌握...

    SpringSecurity3.0 Demo

    总的来说,"SpringSecurity3.0 Demo"项目是一个深入学习和实践SpringSecurity的好机会,通过对这个项目的研究,我们可以了解到SpringSecurity如何保障应用程序的安全,以及如何在实际开发中有效地利用它的功能。

    利用spring security控制同一个用户只能一次登陆

    标题中的“利用Spring Security控制同一个用户只能一次登录”是指在基于Spring Security的Web应用程序中实现单点登录(Single Sign-On, SSO)的功能,确保同一时间只有一个设备或浏览器会话可以登录同一用户的账户。...

    SpringSecurity3.0.x官方参考文档(英文+中文双解版)

    Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,广泛应用于Java企业级应用的安全管理。Spring Security 3.0.x 版本是该框架的一个重要里程碑,它提供了许多安全特性和改进,使得开发者能够更加...

    Spring Security 3.0 权限管理

    Spring Security 3.0 是一个强大的安全框架,用于在Java应用程序中实现全面的安全管理解决方案。它专注于提供身份验证、授权和访问控制功能,确保只有经过验证的用户才能访问受保护的资源。本教程将深入探讨Spring ...

    spring3.0+spring security3.1.4 api chm 中文版

    Spring 3.0是Spring框架的一个重大更新,引入了许多新特性和改进。它增强了IoC(Inversion of Control)容器,使得依赖注入更加灵活。AOP(Aspect Oriented Programming)支持也得到了扩展,不仅支持传统的基于注解...

    spring security3.0 源码

    spring-security-web-3.0 spring-security-taglibs-3.0 spring-security-openid-3.0 spring-security-core-3.0 spring-security-config-3.0 spring-security-aspects-3.0 spring-security-acl-3.0

    Spring-Security2.0 和 3.0中文文档

    Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。它为Web应用和企业级应用提供了全面的安全解决方案。这个框架允许开发者轻松地实现用户认证、权限授权、安全配置以及其他...

    SpringSecurity 3.0基础配置实例+Mysql数据库文件+Jar包

    SpringSecurity3.0相对比较稳定。本实例包含SpringSecurity3.0的基本配置,包含所需的Jar包和mysql数据库文件,直接导入myeclipes中并导入数据库即可运行,配置文件简单易懂,适合SpringSecurity初学者配置入门。...

    spring security3.0所有最新开发包及源码及文档

    Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理。它为Web应用程序提供了全面的身份验证、授权和访问控制功能。在Spring Security 3.0版本中,这个框架进行了大量的改进和增强,以适应不断变化的...

    spring security 3.0入门教程PDF

    Spring Security 3.0是该框架的一个重要版本,提供了许多安全控制功能,用于保护Web应用程序不受到黑客的攻击。 ### Spring Security 3.0入门知识点: 1. **Spring Security概述**: Spring Security是一个提供...

    教你使用 SpringSecurity 3.0

    教你使用 SpringSecurity 3.0 一步一步教你使用SpringSecurity,从保护web应用到保护业务方法调用

    spring security 3.0x remember-me 免登陆

    Spring Security 是一个强大的Java安全框架,它为Web应用程序提供了全面的安全解决方案。在3.0.x版本中,"remember-me"功能是Spring Security提供的一种便捷方式,允许用户在关闭浏览器后仍能在一段时间内保持登录...

    Spring-Security3.0自定义表结构

    在企业级应用开发中,Spring Security作为Spring框架的一个子项目,提供了一套完整的权限管理和安全性解决方案。它不仅能够处理身份验证(authentication)和授权(authorization),还提供了对加密、CSRF保护、会话...

    LEARNING SPRING BOOT 3.0 - THIRD EDITION

    Spring Boot是Spring生态系统中的一个核心组件,它通过自动化配置、起步依赖和内嵌式Web服务器等功能,极大地简化了Java应用的开发。 在Spring Boot 3.0版本中,我们可以期待一系列更新和改进,包括性能提升、新...

Global site tag (gtag.js) - Google Analytics