spring security 3.0的统制一个帐号只允许一次登录
spring security 3.0的控制一个帐号只允许一次登录
spring security 3.0里面明确的说明了:
session-management段里面的concurrency-control是控制一个帐号最多允许登录多少次的,比如<concurrency-control max-sessions="1"/>就是一次,2当然是两次。
所有搜到的帖子,凡是提到concurrency-control这个的,我不知道有没有人试过真的好用吗?
我配置了以后发现根本就控制不住。
打开了springsecurity的debug日志,还是难以发现原因。
因为网上根本搜不到几个这方面的错误,让我误以为是我个人配置问题,就没有看代码;最后不得已挂上了spring security的代码一看,直接晕菜。
org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy
里面的checkAuthenticationAllowed方法,调用了sessionRegistry.getAllSessions,用authentication.getPrincipal(),也就是UserDetails实现对象。
但是sessionRegistry存储的时候使用的是Hash的数据结构,所以UserDetails实现类必须重写equals和hashCode。
另外网上发帖的基本就是抄来抄去,其实只要你加了concurrency-control配置,即使不写max-sessions属性,在org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy里面maximumSessions的默认值是1!
写下来省的后人走弯路。
这些都没问题,严格按照文档做的。
那就很奇怪了,security代码里面明明是Hash的结构做Key。
不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的,而且这个项目是使用Email登录,所以也没用username属性。
不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的,而且这个项目是使用Email登录,所以也没用username属性。
弱弱问一下,CredentialsContainer这个接口是做什么?
再请教一下,不知道你有没有用RememberMe这个功能,就是利用cookie记录登录信息,不过自从session并发好用后,就再也记不住我的登录信息了。
你遇到过类似的问题吗?
再请教一下,不知道你有没有用RememberMe这个功能,就是利用cookie记录登录信息,不过自从session并发好用后,就再也记不住我的登录信息了。
你遇到过类似的问题吗?
这个我没细究,但是我记得好像在搜资料的时候遇到过这个问题。
如果你不着急等,我过半个月有时间的时候会继续处理这部分代码,到时候会研究一下。
或者你要搞定了,一定记得告诉我:)
直接看springside吧,白衣做很的好了,直接拿来你的项目就可以达到一个很高的高度了。
你是这么写的吧:
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。
因为你关闭浏览器不等于session生命周期结束。
这个也是我想做但是还没做的一个部分。应该是遍历session,把对应的用户拿出来,把grantedauthority替换掉就可以,前提是如果spring security没有cache这部分数据的话。当然如果有cache还得清空一下。
你是这么写的吧:
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。
因为你关闭浏览器不等于session生命周期结束。
This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).)
这样就防止不了一个用户只能登录一次了.
你是这么写的吧:
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。
因为你关闭浏览器不等于session生命周期结束。
This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).)
这样就防止不了一个用户只能登录一次了.
可以控制。已经登录的情况下,下一个登录可以失败或者踢掉前一个,踢掉才是正确选择。
spring security 3.0里面明确的说明了:
session-management段里面的concurrency-control是控制一个帐号最多允许登录多少次的,比如<concurrency-control max-sessions="1"/>就是一次,2当然是两次。
所有搜到的帖子,凡是提到concurrency-control这个的,我不知道有没有人试过真的好用吗?
我配置了以后发现根本就控制不住。
打开了springsecurity的debug日志,还是难以发现原因。
因为网上根本搜不到几个这方面的错误,让我误以为是我个人配置问题,就没有看代码;最后不得已挂上了spring security的代码一看,直接晕菜。
org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy
里面的checkAuthenticationAllowed方法,调用了sessionRegistry.getAllSessions,用authentication.getPrincipal(),也就是UserDetails实现对象。
但是sessionRegistry存储的时候使用的是Hash的数据结构,所以UserDetails实现类必须重写equals和hashCode。
另外网上发帖的基本就是抄来抄去,其实只要你加了concurrency-control配置,即使不写max-sessions属性,在org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy里面maximumSessions的默认值是1!
写下来省的后人走弯路。
3 楼
flashing
2010-11-26
lygivw 写道
首先,你需要把下面的监听器添加到你的web.xml文件里,让Spring Security获得session生存周期事件:
<listener>
<listener-class>
org.springframework.security.web.session.HttpSessionEventPublisher
</listener-class>
</listener>
<listener>
<listener-class>
org.springframework.security.web.session.HttpSessionEventPublisher
</listener-class>
</listener>
这些都没问题,严格按照文档做的。
4 楼
flashing
2010-11-26
peak 写道
楼主说的这个,我试了,管用,网上抄的做法,但是确实起作用,不知道楼主为啥不管用
那就很奇怪了,security代码里面明明是Hash的结构做Key。
5 楼
caoyangx
2010-11-26
你早说啊,这个问题我在去年10月用springsecurity3时候就发现了,从测试版一直用到正式版,还是没解决,一直以为是bug,后来发现是UserDetails的问题,在实现登录用户时,如果你自己的user实体实现UserDetails,session并发就会失效,使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。
你的文章来的太晚了。。。
6 楼
flashing
2010-11-26
caoyangx 写道
你早说啊,这个问题我在去年10月用springsecurity3时候就发现了,从测试版一直用到正式版,还是没解决,一直以为是bug,后来发现是UserDetails的问题,在实现登录用户时,如果你自己的user实体实现UserDetails,session并发就会失效,使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。
你的文章来的太晚了。。。
不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的,而且这个项目是使用Email登录,所以也没用username属性。
7 楼
caoyangx
2010-11-27
flashing 写道
caoyangx 写道
你早说啊,这个问题我在去年10月用springsecurity3时候就发现了,从测试版一直用到正式版,还是没解决,一直以为是bug,后来发现是UserDetails的问题,在实现登录用户时,如果你自己的user实体实现UserDetails,session并发就会失效,使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。
你的文章来的太晚了。。。
不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的,而且这个项目是使用Email登录,所以也没用username属性。
弱弱问一下,CredentialsContainer这个接口是做什么?
8 楼
flashing
2010-11-27
用于清除敏感数据的,我觉得其实也没啥大用,就是定义这么个接口提供这么个机会。
9 楼
caoyangx
2010-11-27
flashing 写道
用于清除敏感数据的,我觉得其实也没啥大用,就是定义这么个接口提供这么个机会。
再请教一下,不知道你有没有用RememberMe这个功能,就是利用cookie记录登录信息,不过自从session并发好用后,就再也记不住我的登录信息了。
你遇到过类似的问题吗?
10 楼
flashing
2010-11-29
caoyangx 写道
flashing 写道
用于清除敏感数据的,我觉得其实也没啥大用,就是定义这么个接口提供这么个机会。
再请教一下,不知道你有没有用RememberMe这个功能,就是利用cookie记录登录信息,不过自从session并发好用后,就再也记不住我的登录信息了。
你遇到过类似的问题吗?
这个我没细究,但是我记得好像在搜资料的时候遇到过这个问题。
如果你不着急等,我过半个月有时间的时候会继续处理这部分代码,到时候会研究一下。
或者你要搞定了,一定记得告诉我:)
11 楼
whao189
2010-11-30
不知道 楼主 能否把 demo 上传一下 小弟想具体的 学习一下
膜拜!!!
膜拜!!!
12 楼
flashing
2010-12-01
whao189 写道
不知道 楼主 能否把 demo 上传一下 小弟想具体的 学习一下
膜拜!!!
膜拜!!!
直接看springside吧,白衣做很的好了,直接拿来你的项目就可以达到一个很高的高度了。
13 楼
lai555
2010-12-03
不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?
14 楼
flashing
2010-12-04
lai555 写道
不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?
你是这么写的吧:
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。
因为你关闭浏览器不等于session生命周期结束。
15 楼
kaowww153
2010-12-14
直接继承的user,没发现楼主所说的问题。
16 楼
imp860124
2010-12-31
顶楼主,我也是直接用自己的User实现的UserDetails,结果就是控制不了同一用户的多次登录。终于解决了。下面还得解决角色资源的动态刷新,不知道各位有什么好的方法?我的角色资源是通过自己的服务类从数据库读取的。
17 楼
flashing
2011-01-01
imp860124 写道
顶楼主,我也是直接用自己的User实现的UserDetails,结果就是控制不了同一用户的多次登录。终于解决了。下面还得解决角色资源的动态刷新,不知道各位有什么好的方法?我的角色资源是通过自己的服务类从数据库读取的。
这个也是我想做但是还没做的一个部分。应该是遍历session,把对应的用户拿出来,把grantedauthority替换掉就可以,前提是如果spring security没有cache这部分数据的话。当然如果有cache还得清空一下。
18 楼
抛出异常的爱
2011-01-01
遇到过这样的问题
用check的方式把session数据放库里多用了几条sql
用check的方式把session数据放库里多用了几条sql
19 楼
lai555
2011-01-06
flashing 写道
lai555 写道
不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?
你是这么写的吧:
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。
因为你关闭浏览器不等于session生命周期结束。
This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).)
这样就防止不了一个用户只能登录一次了.
20 楼
flashing
2011-01-06
lai555 写道
flashing 写道
lai555 写道
不知你们有没有遇到这种情况,当第一个用户不是正常退出,而是关闭浏览器退出时,第二个再登录就登录不了,总提示是用户己登录了,你们有什么好的解决方法么?
你是这么写的吧:
<s:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
把error-if-maximum-exceeded去掉就ok了。
因为你关闭浏览器不等于session生命周期结束。
This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).)
这样就防止不了一个用户只能登录一次了.
可以控制。已经登录的情况下,下一个登录可以失败或者踢掉前一个,踢掉才是正确选择。
21 楼
imp860124
2011-01-07
<div class="quote_title">flashing 写道</div>
<div class="quote_div">
<div class="quote_title">imp860124 写道</div>
<div class="quote_div">顶楼主,我也是直接用自己的User实现的UserDetails,结果就是控制不了同一用户的多次登录。终于解决了。下面还得解决角色资源的动态刷新,不知道各位有什么好的方法?我的角色资源是通过自己的服务类从数据库读取的。</div>
<br><br>这个也是我想做但是还没做的一个部分。应该是遍历session,把对应的用户拿出来,把grantedauthority替换掉就可以,前提是如果spring security没有cache这部分数据的话。当然如果有cache还得清空一下。</div>
<p> </p>
<p> 这样用户和角色是可以刷新,角色和资源的变动也如此刷新吗?这个遍历就有点不好看了吧。。。我看贩卖你168临远大哥的文档上有种方式是重新构造一次自定义的FilterSecurityInterceptor。即调用FilterSecurityInterceptor.setSecurityMetadataSource(fids),fids是自定义的FilterInvocationSecurityMetadataSource,重新获取一次会从数据库获取最新的用户角色资源的对应。就是我在获取这个FilterInvocationSecurityMetadataSource时总报错,还在解决中的。</p>
<div class="quote_div">
<div class="quote_title">imp860124 写道</div>
<div class="quote_div">顶楼主,我也是直接用自己的User实现的UserDetails,结果就是控制不了同一用户的多次登录。终于解决了。下面还得解决角色资源的动态刷新,不知道各位有什么好的方法?我的角色资源是通过自己的服务类从数据库读取的。</div>
<br><br>这个也是我想做但是还没做的一个部分。应该是遍历session,把对应的用户拿出来,把grantedauthority替换掉就可以,前提是如果spring security没有cache这部分数据的话。当然如果有cache还得清空一下。</div>
<p> </p>
<p> 这样用户和角色是可以刷新,角色和资源的变动也如此刷新吗?这个遍历就有点不好看了吧。。。我看贩卖你168临远大哥的文档上有种方式是重新构造一次自定义的FilterSecurityInterceptor。即调用FilterSecurityInterceptor.setSecurityMetadataSource(fids),fids是自定义的FilterInvocationSecurityMetadataSource,重新获取一次会从数据库获取最新的用户角色资源的对应。就是我在获取这个FilterInvocationSecurityMetadataSource时总报错,还在解决中的。</p>
22 楼
moving1023
2011-11-09
<http auto-config="true" entry-point-ref="loginPageEntryPoint" access-denied-page="/403.jsp"><!-- 当访问被拒绝时,会转到403.jsp -->
<intercept-url pattern="/login/login.jsp" filters="none" />
<intercept-url pattern="/JS/**" filters="none"/>
<intercept-url pattern="/CSS/**" filters="none"/>
<intercept-url pattern="/login/images/**" filters="none"/>
<intercept-url pattern="/**" access = "IS_AUTHENTICATED_FULLY"/>
<form-login
login-page="/login/login.jsp"
authentication-failure-handler-ref="failureHandler"
authentication-success-handler-ref="successHandler"
login-processing-url="/j_spring_security_check"
/>
<logout logout-success-url="/login/login.jsp"/>
<!-- 会话管理 暂时不能用 -->
<session-management>
<concurrency-control error-if-maximum-exceeded="true" max-sessions="1"/>
</session-management>
<custom-filter
ref="myFilterSecurityInterceptor"
before="FILTER_SECURITY_INTERCEPTOR"/>
</http>
我这样配置,但还是能够登入,不会踢出来
<intercept-url pattern="/login/login.jsp" filters="none" />
<intercept-url pattern="/JS/**" filters="none"/>
<intercept-url pattern="/CSS/**" filters="none"/>
<intercept-url pattern="/login/images/**" filters="none"/>
<intercept-url pattern="/**" access = "IS_AUTHENTICATED_FULLY"/>
<form-login
login-page="/login/login.jsp"
authentication-failure-handler-ref="failureHandler"
authentication-success-handler-ref="successHandler"
login-processing-url="/j_spring_security_check"
/>
<logout logout-success-url="/login/login.jsp"/>
<!-- 会话管理 暂时不能用 -->
<session-management>
<concurrency-control error-if-maximum-exceeded="true" max-sessions="1"/>
</session-management>
<custom-filter
ref="myFilterSecurityInterceptor"
before="FILTER_SECURITY_INTERCEPTOR"/>
</http>
我这样配置,但还是能够登入,不会踢出来