2. 程式人生 > >spring security3教程系列--如何踢出使用者

spring security3教程系列--如何踢出使用者

阿新 發佈:2019-01-06 
本文章摘編、轉載需要註明來源 http://write.blog.csdn.net/postedit/8572467


對於spring security我個人是比較喜歡的一個安全框架,我們的系統中一般需要提供強制將使用者踢出的功能,這個功能security也有提供,

首先我們要操作需要獲取sessionRegistry中認證使用者的所有SessionInformation,然後逐個呼叫SessionInformation裡的expireNow()方法,然後ConcurrentSessionFilter

就會執行使用者登入登出的功能;對於這個sessionRegistry.removeSessionInformation(sessionInformation
                    .getSessionId());我不知道是不是我的用法不對,呼叫了也不會強制登出使用者的session,因為官方原始碼中說呼叫removeSessionInformation的時候會讓session的監聽器響應到,但是我是沒成功(望使用這個方式成功的朋友留言告訴下我);下面我們就看為什麼呼叫SessionInformation裡的expireNow()方法就能登出使用者

/**
	 * 把當前使用者踢出系統
	 */
	public void shotOff() {
		List<SessionInformation> sessionInformations = sessionRegistry
				.getAllSessions(SpringSecurityManager.getAuthentication()
						.getPrincipal(), false);
		for (SessionInformation sessionInformation : sessionInformations) {
			sessionInformation.expireNow();

			// sessionRegistry.removeSessionInformation(sessionInformation
					.getSessionId());

		}
	}

我們來看下SessionInformation的原始碼 
 private Date lastRequest;
    private final Object principal;
    private final String sessionId;
    private boolean expired = false;

    //~ Constructors ===================================================================================================

    public SessionInformation(Object principal, String sessionId, Date lastRequest) {
        Assert.notNull(principal, "Principal required");
        Assert.hasText(sessionId, "SessionId required");
        Assert.notNull(lastRequest, "LastRequest required");
        this.principal = principal;
        this.sessionId = sessionId;
        this.lastRequest = lastRequest;
    }

    //~ Methods ========================================================================================================

    public void expireNow() {
        this.expired = true;
    }

    public Date getLastRequest() {
        return lastRequest;
    }

    public Object getPrincipal() {
        return principal;
    }

    public String getSessionId() {
        return sessionId;
    }

    public boolean isExpired() {
        return expired;
    }

    /**
     * Refreshes the internal lastRequest to the current date and time.
     */
    public void refreshLastRequest() {
        this.lastRequest = new Date();
    }

看到的是呼叫expireNow方法時候會將屬性expired設定為true;

然後我們來看下需要處理的ConcurrentSessionFilter過濾器的原始碼

    private SessionRegistry sessionRegistry;
    private String expiredUrl;
    private LogoutHandler[] handlers = new LogoutHandler[] {new SecurityContextLogoutHandler()};
    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

    //~ Methods ========================================================================================================


    /**
     * @deprecated Use constructor which injects the <tt>SessionRegistry</tt>.
     */
    public ConcurrentSessionFilter() {
    }

    public ConcurrentSessionFilter(SessionRegistry sessionRegistry) {
        this(sessionRegistry, null);
    }

    public ConcurrentSessionFilter(SessionRegistry sessionRegistry, String expiredUrl) {
        this.sessionRegistry = sessionRegistry;
        this.expiredUrl = expiredUrl;
    }

    @Override
    public void afterPropertiesSet() {
        Assert.notNull(sessionRegistry, "SessionRegistry required");
        Assert.isTrue(expiredUrl == null || UrlUtils.isValidRedirectUrl(expiredUrl),
                expiredUrl + " isn't a valid redirect URL");
    }

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        HttpSession session = request.getSession(false);

        if (session != null) {
            SessionInformation info = sessionRegistry.getSessionInformation(session.getId());

            if (info != null) {
                if (info.isExpired()) {
                    // Expired - abort processing
                    doLogout(request, response);

                    String targetUrl = determineExpiredUrl(request, info);

                    if (targetUrl != null) {
                        redirectStrategy.sendRedirect(request, response, targetUrl);

                        return;
                    } else {
                        response.getWriter().print("This session has been expired (possibly due to multiple concurrent " +
                                "logins being attempted as the same user).");
                        response.flushBuffer();
                    }

                    return;
                } else {
                    // Non-expired - update last request date/time
                    sessionRegistry.refreshLastRequest(info.getSessionId());
                }
            }
        }

        chain.doFilter(request, response);
    }

    protected String determineExpiredUrl(HttpServletRequest request, SessionInformation info) {
        return expiredUrl;
    }

    private void doLogout(HttpServletRequest request, HttpServletResponse response) {
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();

        for (LogoutHandler handler : handlers) {
            handler.logout(request, response, auth);
        }
    }

    /**
     * @deprecated use constructor injection instead
     */
    @Deprecated
    public void setExpiredUrl(String expiredUrl) {
        this.expiredUrl = expiredUrl;
    }

    /**
     * @deprecated use constructor injection instead
     */
    @Deprecated
    public void setSessionRegistry(SessionRegistry sessionRegistry) {
        this.sessionRegistry = sessionRegistry;
    }

    public void setLogoutHandlers(LogoutHandler[] handlers) {
        Assert.notNull(handlers);
        this.handlers = handlers;
    }

    public void setRedirectStrategy(RedirectStrategy redirectStrategy) {
        this.redirectStrategy = redirectStrategy;
    }

很明顯程式碼中有遇到if (info.isExpired())邏輯判斷,這個時候如果表示式的值為true就會執行裡面的doLogout方法,而這個方法裡面就會呼叫我們配置的登出監聽器,當前使用者在之前認證成功後的狀態也會失效了

然後看下xml裡怎麼配置

<!-- SESSION管理 -->
	<bean id="sessionRegistry"
		class="org.springframework.security.core.session.SessionRegistryImpl" />

	<bean id="concurrentSessionFilter"
		class="org.springframework.security.web.session.ConcurrentSessionFilter">
		<property name="sessionRegistry" ref="sessionRegistry" />
		<property name="expiredUrl" value="/apply/skip/restimeout.html" />
		<property name="logoutHandlers">
			<list>
				<ref local="logoutHandler" />
			</list>
		</property>
	</bean>
	
	<!-- 登出監聽器  -->
	<bean id="logoutHandler"
		class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler">
		<property name="InvalidateHttpSession" value="true" />
	</bean>


相關推薦

spring security3教程系列--如何出使用者

本文章摘編、轉載需要註明來源 http://write.blog.csdn.net/postedit/8572467 對於spring security我個人是比較喜歡的一個安全框架,我們的系統中一般需要提供強制將使用者踢出的功能,這個功能security也有提供, 首先

spring security3教程系列--頁面許可權標籤問題

本文章摘編、轉載需要註明來源 http://blog.csdn.net/shadowsick/article/details/8868863 當我們自定義了spring security3 的過濾鏈的時候發現頁面許可權控制標籤<sec:authorize之類的已經

Spring Security教程系列》三.HttpSecurity的使用

HttpSecurity 到目前為止我們的 SecurityConfig 只包含了關於如何驗證我們的使用者的資訊。Spring Security怎麼知道我們想對所有的使用者進行驗證?Spring Security怎麼知道我們需要支援基於表單的驗證?原因是我們的SecurityConf

Spring Security教程系列》二.初識Java 配置

Java配置使用and()方法相當於XML標籤的關閉,這樣允許我們繼續配置父類節點。如果你閱讀程式碼他很合理,我想配置請求驗證,並使用表單和HTTP基本身份驗證進行登入。 Java配置和表單登入 因此使用Java程式碼配置Spring Security主要是這兩個步驟: 1、

Spring Security教程系列》一.Spring Security簡介

# 1.Spring Security是什麼? Spring Security提供了基於Java EE的企業應用軟體全面的安全服務.這裡特別強調支援使用Spring框架構建的專案,Spring框架是企業軟體開發Java EE方案的領導者 . Spring Security 是一

Spring Boot 教程系列學習

1.工具下載地址: 2.使用版本為: Eclipse:eclipse-jee-neon-R-win32-x86_64.zip Spring Tool Suite:springsource-tool-suite-3.8.0.RELE

Spring Boot2.0系列教程合集、Spring Cloud系列教程合集、Spring Boot常見錯誤合集、Spring Cloud常見錯誤合集

以下內容結合實際專案和工作經驗整理的Spring Boot和Spring Cloud學習教程和一些常見錯誤,希望能幫助到剛學習到童鞋,學習過程遇到問題評論回覆,第一時間會回覆!   Spring Boot2.0系列教程合集 1、Spring Boot2.0系列教程之idea下新

Spring Boot 基礎系列教程 | 第八篇:使用Java 8中LocalDate等時間日期類的問題解決

推薦 Spring Boot/Cloud 視訊: Spring Boot和Feign中使用Java 8時間日期API(LocalDate等)的序列化問題         LocalDate、LocalTime、LocalDateTime是Java 8開始提供的

Spring Boot 基礎系列教程 | 第十二篇:使用Spring-data-jpa簡化資料訪問層(推薦)

推薦 Spring Boot/Cloud 視訊: Spring Boot中使用Spring-data-jpa讓資料訪問更簡單、更優雅 在上一篇Spring中使用JdbcTemplate訪問資料庫 中介紹了一種基本的資料訪問方式,結合構建RESTful API和

Spring Boot 基礎系列教程 | 第十六篇:整合MyBatis

推薦 Spring Boot/Cloud 視訊: 最近專案原因可能會繼續開始使用MyBatis,已經習慣於spring-data的風格,再回頭看xml的對映配置總覺得不是特別舒服,介面定義與對映離散在不同檔案中,使得閱讀起來並不是特別方便。 Spring中整合

Spring Boot 基礎系列教程 | 第十八篇:使用Flyway來管理資料庫版本

推薦 Spring Boot/Cloud 視訊: 如果沒有讀過上面內容的讀者,有興趣的可以一閱。在前面的使用JdbcTemplate一文中,主要通過spring提供的JdbcTemplate實現對使用者表的增刪改查操作。在實現這個例子的時候,我們事先在MySQ

Spring Boot 基礎系列教程 | 第三十二篇:使用@Async實現非同步呼叫:自定義執行緒池

推薦 Spring Boot/Cloud 視訊: 在之前的Spring Boot基礎教程系列中,已經通過《Spring Boot中使用@Async實現非同步呼叫》一文介紹過如何使用@Async註解來實現非同步呼叫了。但是,對於這些非同步執行的控制是我們保障自身

Spring Boot從入門到進階教程系列 -- SpringMVC配置(包含自定義FastJSON配置)

上一個教程我們講解如何配置MyBatis根據資料庫型別進行對應資料庫方言自動分頁查詢,本次我們將接著以往教程的成果來整合配置SpringMVC以及配置我們自定義的FastJSON序列輸出,如需看上篇教程的同學可點選連結下面我們直接開啟程式碼之旅我們通過@ResponseBod

Spring Boot從入門到進階教程系列 -- Druid資料來源初始化配置

       上一個教程我們講解如何讀取配置資料更加優雅,簡潔,本次我們將接著上個教程的成果來應用到專案的資料來源初始化配置,如需看上篇教程的同學可點選連結【Spring Boot從入門到進階教程系列 -- 多種配置資料載入方式詳解,優劣分析】下面我們直接開啟程式碼之旅步驟1

Spring Boot從入門到進階教程系列目錄

      由於前些日子比較忙著一些工作事情,導致沒有更新連續性的教程文章,現在往後一段時間我打算寫當下比較流行的Spring Boot框架教程(持續更新ING),從入門到進階,其中包含如何優雅設計你的系統結構,如何加強你的系統安全設計等等,希望該系列文章對大家有一些開發上的

Spring Cloud 公司專案實戰(Eureka相關):Eureka-Server 高可用叢集 關於宕機後主動該節點

重要性:一級 問題 spring cloud Eureka註冊中心的重要性 什麼是高可用叢集 為何搭建註冊中心高可用叢集 為何要踢出宕機的節點 大家仔細想想以上的問題即可發現我們關於 示例:application-peer*.yml配置 sprin

Spring Data Jpa系列教程(一)--------入門

大渣好,我是小小書生,現在開始,我們來學習船新的一門技術,SpringDataJpa,它是一個。。額。。(我百度一下) JPA(Java Persistence API)是Sun官方提出的Java持久化規範。它為Java開發人員提供了一種物件/關聯對映工具來管理Java

Spring Cloud Alibaba系列教程-01-Nacos安裝與啟停

浪費了“黃金五年”的Java程式設計師,還有救嗎? >>>   

緩沖區溢實戰教程系列(三):利用OllyDbg了解程序運行機制

成了 代碼段 下界 urn 方便 htm oca 相差 14. 想要進行緩沖區溢出的分析與利用,當然就要懂得程序運行的機制。今天我們就用動態分析神器ollydbg來了解一下在windows下程序是如何運行的。 戳這裏看之前發布的文章: 緩沖區溢出實戰教程系列(一):

Spring Cloud Alibaba系列教程-03-搭建生產可用的Nacos叢集

Spring Cloud Alibaba系列教程-01-Nacos安裝與啟停 一節, 已搭建一個單例項Nacos——它使用內嵌資料