51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

Spring Boot Security防重登录及在线总数

作者:FastCoder
开发 前端
本篇给大家介绍Spring Boot Security防重登录及在线总数的相关知识,希望对你有所帮助!

[[395788]]

 环境:Spring Boot 2.2.11.RELEASE + JPA2

Security流程处理

Security的核心是Filter,下图是Security的执行流程

详细步骤:

1.1

UsernamePasswordAuthenticationFilter的父类是AbstractAuthenticationProcessingFilter首先执行父类中的doFilter方法。

1.2 执行

UsernamePasswordAuthenticationFilter中的attemptAuthentication方法

这里实例化

UsernamePasswordAuthenticationToken对象存入用户名及密码进行接下来的验证

1.3 进入验证

this.getAuthenticationManager().authenticate(authRequest) 这里使用的是系统提供的ProviderManager对象进行验证

关键是下面的这个for循环

 

这里先判断AuthenticationProvider是否被支持

  1. Class<? extends Authentication> toTest = authentication.getClass(); 

这里的toTest就是

UsernamePasswordAuthenticationFilter类中调用的如下对象

1.4 既然要验证用户名密码,那我们肯定地提供一个AuthenticationProvider对象同时必须还得要支持

UsernamePasswordAuthenticationToken对象类型的。所以我们提供如下一个DaoAuthenticationProvider子类,查看该类


关键在这个父类中,该父类中如下方法:

  1. public boolean supports(Class<?> authentication) { 
  2.         return (UsernamePasswordAuthenticationToken.class 
  3.                 .isAssignableFrom(authentication)); 
  4.     } 

 也就说明我们只需要提供DaoAuthenticationProvider一个子类就能对用户进行验证了。

1.5 自定义DaoAuthenticationProvider子类

  1. @Bean 
  2.     public DaoAuthenticationProvider daoAuthenticationProvider() { 
  3.         DaoAuthenticationProvider daoAuthen = new DaoAuthenticationProvider() ; 
  4.         daoAuthen.setPasswordEncoder(passwordEncoder()); 
  5.         daoAuthen.setUserDetailsService(userDetailsService()); 
  6.         daoAuthen.setHideUserNotFoundExceptions(false) ; 
  7.         return daoAuthen ; 
  8.     } 

 1.6 执行前面for中的如下代码

  1. result = provider.authenticate(authentication); 

这里进入了DaoAuthenticationProvider的父类

AbstractUserDetailsAuthenticationProvider中的authenticate方法

该方法的核心方法

retrieveUser方法在子类DaoAuthenticationProvider中实现

如果这里返回了UserDetails(查询到用户)将进入下一步

1.7 进入密码的验证

这里调用子类DaoAuthenticationProvider的方法

剩下的就是成功后的事件处理,如果有异常进行统一的异常处理

Security登录授权认证

  • 实体类
  1. @Entity 
  2. @Table(name = "T_USERS"
  3. public class Users implements UserDetails, Serializable { 
  4.   private static final long serialVersionUID = 1L; 
  5.     @Id 
  6.   @GeneratedValue(generator = "system-uuid"
  7.   @GenericGenerator(name = "system-uuid", strategy = "uuid"
  8.   private String id ; 
  9.   private String username ; 
  10.   private String password ; 
  •  DAO
  1. public interface UsersRepository extends JpaRepository<Users, String>, JpaSpecificationExecutor<Users> { 
  2.     Users findByUsernameAndPassword(String username, String password) ; 
  3.     Users findByUsername(String username) ; 
  •  Security 配置
  1. @Configuration 
  2. public class SecurityConfig extends WebSecurityConfigurerAdapter { 
  3.      
  4.     @Resource 
  5.     private UsersRepository ur ; 
  6.     @Resource 
  7.     private LogoutSuccessHandler logoutSuccessHandler ; 
  8.      
  9.     @Bean 
  10.     public UserDetailsService userDetailsService() { 
  11.         return username -> { 
  12.             Users user = ur.findByUsername(username) ; 
  13.             if (user == null) { 
  14.                 throw new UsernameNotFoundException("用户名不存在") ; 
  15.             } 
  16.             return user ; 
  17.         }; 
  18.     } 
  19.      
  20.     @Bean 
  21.     public PasswordEncoder passwordEncoder() { 
  22.         return new PasswordEncoder() { 
  23.             @Override 
  24.             public boolean matches(CharSequence rawPassword, String encodedPassword) { 
  25.                 return rawPassword.equals(encodedPassword) ; 
  26.             } 
  27.             @Override 
  28.             public String encode(CharSequence rawPassword) { 
  29.                 return rawPassword.toString() ; 
  30.             } 
  31.         }; 
  32.     } 
  33.      
  34.     @Bean 
  35.     public DaoAuthenticationProvider daoAuthenticationProvider() { 
  36.         DaoAuthenticationProvider daoAuthen = new DaoAuthenticationProvider() ; 
  37.         daoAuthen.setPasswordEncoder(passwordEncoder()); 
  38.         daoAuthen.setUserDetailsService(userDetailsService()); 
  39.         daoAuthen.setHideUserNotFoundExceptions(false) ; 
  40.         return daoAuthen ; 
  41.     } 
  42.      
  43.     @Bean 
  44.     public SessionRegistry sessionRegistry() { 
  45.         return new SessionRegistryImpl() ; 
  46.     } 
  47.      
  48.     // 这个不配置sessionRegistry中的session不失效 
  49.     @Bean 
  50.     public HttpSessionEventPublisher httpSessionEventPublisher() { 
  51.         return new HttpSessionEventPublisher(); 
  52.     } 
  53.      
  54.     @Override 
  55.     protected void configure(HttpSecurity http) throws Exception { 
  56.         http 
  57.             .csrf().disable() 
  58.             .authorizeRequests() 
  59.             .antMatchers("/pos/**"
  60.             .authenticated() 
  61.         .and() 
  62.             .formLogin() 
  63.             .loginPage("/sign/login"
  64.         .and() 
  65.             .logout() 
  66.             .logoutSuccessHandler(logoutSuccessHandler) 
  67.             .logoutUrl("/sign/logout"); 
  68.     // 这里配置最大同用户登录个数 
  69.         http.sessionManagement().maximumSessions(1).expiredUrl("/sign/login?expired").sessionRegistry(sessionRegistry()) ; 
  70.     } 
  71.      
  •  Controller相关接口
  1. @Controller 
  2. public class LoginController { 
  3.      
  4.     @RequestMapping("/sign/login"
  5.     public String login() { 
  6.         return "login" ; 
  7.     } 
  8.      
  10. @RestController 
  11. @RequestMapping("/sign"
  12. public class LogoutController { 
  13.      
  14.     @GetMapping("/logout"
  15.     public Object logout(HttpServletRequest request) { 
  16.         HttpSession session = request.getSession(false); 
  17.         if (session != null) { 
  18.             session.invalidate(); 
  19.         } 
  20.         SecurityContext context = SecurityContextHolder.getContext(); 
  21.         context.setAuthentication(null); 
  22.         SecurityContextHolder.clearContext(); 
  23.         return "success" ; 
  24.     } 
  25.      
  27. @RestController 
  28. @RequestMapping("/pos"
  29. public class PosController { 
  30.      
  31.     @GetMapping(""
  32.     public Object get() { 
  33.         return "pos success" ; 
  34.     } 
  35.      
  37. // 通过下面接口获取在线人数 
  38. @RestController 
  39. @RequestMapping("/sessions"
  40. public class SessionController { 
  41.      
  42.     @Resource 
  43.     private SessionRegistry sessionRegistry ; 
  44.      
  45.     @GetMapping(""
  46.     public Object list() { 
  47.         return sessionRegistry.getAllPrincipals() ; 
  48.     } 
  49.      

 测试:

在chrome浏览器用zs用户登录

用360浏览器也用zs登录

360登录后刷新chrome浏览器

登录已经失效了,配置的最大登录个数也生效了。

完毕!!!

 

责任编辑:姜华 来源: 今日头条
Spring Boot Security防重登录
相关推荐
Spring Security 中的 RememberMe 登录,so easy!
持久化令牌比前面的普通令牌安全系数提高了不少,但是依然存在风险。安全问题和用户的使用便捷性就像一个悖论,想要用户使用方便,不可避免地要牺牲一点安全性。对于开发者而言,要做的就是如何将系统存在的安全风险降到最低。

2022-11-26 00:00:02

手摸手教你定制 Spring Security 表单登录
对于一个完整的应用系统,与登录验证相关的页面都是高度定制化的,非常美观而且提供多种登录方式。这就需要SpringSecurity支持我们自己定制登录页面,也就是本文给大家介绍的FormLogin模式登录认证模式。

2022-09-06 08:40:33

应用系统登录方式Spring
Spring Boot Security + JWT Token 的简单应用
我们在SpringBoot示例中学到关于SpringSecurity和基于JWT令牌的身份验证的有趣知识。尽管我们写了很多代码,但我希望你能理解应用程序的整体架构,并轻松地将其应用到你的项目中。

2023-12-08 12:12:21

Spring Boot如何集成Security实现安全认证
前面介绍了SpringBoot使用JWT实现Token验证,其实SpringBoot有完整的安全认证框架:SpringSecurity。接下来我们介绍如何集成Security实现安全验证。

2021-12-28 11:13:05

安全认证 Spring Boot
Spring Security功能实现源码分析
本篇给大家介绍SpringSecurity功能实现及源码分析的相关知识,希望能够帮助到你!

2021-04-28 06:26:11

Spring Secu功能实现源码分析
微信小程序登录Spring Security结合的思路
本来不需要长篇大论OAuth2.0,之所以写出来是让你明白开发中要善于发现一些相似的东西,通过差异对比来探讨他们结合的可能性,这也是一种自我提升的方法。方法远比结果重要,形成自己的方法论就能富有创造力。

2021-03-04 11:50:48

微信Spring Secu登录
Spring Security 自定义登录成功后的逻辑
我们有个项目是基于NW.js,用户登录是通过SpringSecurity来实现的。我们在nw.js环境下做了一个校验,如果用户2小时内没有任何的操作那么系统将自动调整到登录页面;这样就出现了问题,我们有很多的用户是724小时不关电脑的。

2021-05-12 08:32:53

Spring Secu 自定义session
Spring Boot+CAS 单点登录之自定义登录页面
CASServer对于自定义登录页面其实提供了很好的支持,可以从多个角度来实现,松哥分别来和大家介绍。

2021-07-13 14:05:37

单点登录页面
Spring Boot实现https ssl免密登录
要让项目实现ssl免密登录,首先需要开启https。实际开发中,会在网上申请一个机构颁发的证书。这里为了方便,我会使用openssl命令自己生成一个证书来使用。

2021-01-06 10:09:05

Spring Boothttps sslhttps
Spring Security 实战干货:Spring Security中的单元测试
今天组里的新人迷茫的问我:哥,SpringSecurity弄的我单元测试跑不起来,总是401,你看看咋解决。没问题,有写单元测试的觉悟,写的代码质量肯定有保证,对代码质量重视的态度,这种忙一定要帮!

2021-04-23 07:33:10

SpringSecurity单元
再见,Spring Security OAuth!!
本次将《SpringAuthorizationServer》项目正式上线,去掉了之前的体验状态,此举恰逢0.2.0版本发布,这也是第一个正式支持的生产就绪版本。

2021-08-29 18:36:57

项目
手把手教你入门 Spring Boot + CAS 单点登录
CAS全称叫做中央认证服务,英文是CentralAuthenticationService。这是由耶鲁大学发起的一个开源项目,目的是帮助Web应用系统构建一种可靠的单点登录解决方案,从目前企业实际项目来看,CAS还是非常受欢迎的一种单点登录解决方案。

2021-06-29 12:27:19

Spring BootCAS 登录
Spring Boot Admin 报警提醒和登录验证功能实现!
报警提醒功能是基于邮箱实现的,当然也可以使用其他的提醒功能,如钉钉或飞书机器人提醒也是可以的,但邮箱报警功能的实现成本最低,所以本文我们就来看邮箱的报警提醒功能的具体实现。

2022-01-26 07:01:00

开源社区项目
OAuth2授权服务器Keycloak宣布不再适配Spring BootSpring Security
在情人节到来之际,这个声明意味深长。声明表示Keycloak团队将弃用绝大部分适配器的维护,将更多精力放在Keycloak服务器本身。

2022-02-15 07:35:12

服务器KeycloakOAuth2
聊聊高并发下如何
最近测试给我提了一个bug,说我之前提供的一个批量复制商品的接口,产生了重复的商品数据。追查原因之后发现,这个事情没想象中简单,可以说一波多折。

2022-06-12 06:45:26

高并发防重
使用Cloud Studio在线编写、调试和管理Spring Boot应用
我们介绍了通过Spring官方的构建页面来生成项目,也介绍了通过使用Intellij中的SpringInitializr来快速构建SpringBootCloud工程。

2018-06-27 14:50:06

Cloud StudiSpring Boot应用
Spring Boot的自动配置原理示例说明
SpringBoot的自动配置是通过EnableAutoConfiguration注解来实现的。它基于条件注解,如ConditionalOnClass,ConditionalOnProperty等,来决定是否要自动配置某个组件或功能。

2023-10-18 08:12:34

Spring自动配置
Spring Boot中使用WebSocket实现实时在线人数统计
这样,当有用户连接到WebSocket并发送消息时,greeting​方法将被调用,处理逻辑并将更新后的在线用户数发送到topiconlineUsers。

2023-11-26 09:10:34

WebSocketgreeting​在线用户
Spring Security中利用JWT退出登录大部分人都写错了配置
使用了JWT后,每次请求都要携带BearerToken并且被专门的过滤器拦截解析之后才能将用户认证信息保存到SecurityContext中去。

2021-10-14 06:51:54

SpringSecurityJWT
Spring Security权限控制系列(五)
本篇内容将会带详细了解如何基于数据库中的用户进行登录授权。

2022-08-30 08:50:07

Spring权限控制
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服