SpringBootSecurity防重登录及在线总数

 环境：Spring Boot 2.2.11.RELEASE + JPA2

创新互联-专业网站定制、快速模板网站建设、高性价比广西网站开发、企业建站全套包干低至880元,成熟完善的模板库,直接使用。一站式广西网站制作公司更省心,省钱,快速模板网站建设找我们，业务覆盖广西地区。费用合理售后完善，十余年实体公司更值得信赖。

Security流程处理

Security的核心是Filter，下图是Security的执行流程

详细步骤：

1.1

UsernamePasswordAuthenticationFilter的父类是AbstractAuthenticationProcessingFilter首先执行父类中的doFilter方法。

1.2 执行

UsernamePasswordAuthenticationFilter中的attemptAuthentication方法

这里实例化

UsernamePasswordAuthenticationToken对象存入用户名及密码进行接下来的验证

1.3 进入验证

this.getAuthenticationManager().authenticate(authRequest) 这里使用的是系统提供的ProviderManager对象进行验证

关键是下面的这个for循环

这里先判断AuthenticationProvider是否被支持

 
 
 
 

  
  
  
  
Class toTest = authentication.getClass();
 
 
 
 

这里的toTest就是

UsernamePasswordAuthenticationFilter类中调用的如下对象

1.4 既然要验证用户名密码，那我们肯定地提供一个AuthenticationProvider对象同时必须还得要支持

UsernamePasswordAuthenticationToken对象类型的。所以我们提供如下一个DaoAuthenticationProvider子类，查看该类

关键在这个父类中，该父类中如下方法：

 
 
 
 

  
  
  
  
public boolean supports(Class authentication) {
  
  
  
  
        return (UsernamePasswordAuthenticationToken.class
  
  
  
  
                .isAssignableFrom(authentication));
  
  
  
  
    }
 
 
 
 

 也就说明我们只需要提供DaoAuthenticationProvider一个子类就能对用户进行验证了。

1.5 自定义DaoAuthenticationProvider子类

 
 
 
 

  
  
  
  
@Bean
  
  
  
  
    public DaoAuthenticationProvider daoAuthenticationProvider() {
  
  
  
  
        DaoAuthenticationProvider daoAuthen = new DaoAuthenticationProvider() ;
  
  
  
  
        daoAuthen.setPasswordEncoder(passwordEncoder());
  
  
  
  
        daoAuthen.setUserDetailsService(userDetailsService());
  
  
  
  
        daoAuthen.setHideUserNotFoundExceptions(false) ;
  
  
  
  
        return daoAuthen ;
  
  
  
  
    }
 
 
 
 

 1.6 执行前面for中的如下代码

 
 
 
 

  
  
  
  
result = provider.authenticate(authentication);
 
 
 
 

这里进入了DaoAuthenticationProvider的父类

AbstractUserDetailsAuthenticationProvider中的authenticate方法

该方法的核心方法

retrieveUser方法在子类DaoAuthenticationProvider中实现

如果这里返回了UserDetails(查询到用户)将进入下一步

1.7 进入密码的验证

这里调用子类DaoAuthenticationProvider的方法

剩下的就是成功后的事件处理，如果有异常进行统一的异常处理

Security登录授权认证

• 实体类

 
 
 
 

  
  
  
  
@Entity
  
  
  
  
@Table(name = "T_USERS")
  
  
  
  
public class Users implements UserDetails, Serializable {
  
  
  
  
  private static final long serialVersionUID = 1L;
  
  
  
  
    @Id
  
  
  
  
  @GeneratedValue(generator = "system-uuid")
  
  
  
  
  @GenericGenerator(name = "system-uuid", strategy = "uuid")
  
  
  
  
  private String id ;
  
  
  
  
  private String username ;
  
  
  
  
  private String password ;
  
  
  
  
}
 
 
 
 

•  DAO

 
 
 
 

  
  
  
  
public interface UsersRepository extends JpaRepository, JpaSpecificationExecutor {
  
  
  
  
    Users findByUsernameAndPassword(String username, String password) ;
  
  
  
  
    Users findByUsername(String username) ;
  
  
  
  
}
 
 
 
 

•  Security 配置

 
 
 
 

  
  
  
  
@Configuration
  
  
  
  
public class SecurityConfig extends WebSecurityConfigurerAdapter {
  
  
  
  
    
  
  
  
  
    @Resource
  
  
  
  
    private UsersRepository ur ;
  
  
  
  
    @Resource
  
  
  
  
    private LogoutSuccessHandler logoutSuccessHandler ;
  
  
  
  
    
  
  
  
  
    @Bean
  
  
  
  
    public UserDetailsService userDetailsService() {
  
  
  
  
        return username -> {
  
  
  
  
            Users user = ur.findByUsername(username) ;
  
  
  
  
            if (user == null) {
  
  
  
  
                throw new UsernameNotFoundException("用户名不存在") ;
  
  
  
  
            }
  
  
  
  
            return user ;
  
  
  
  
        };
  
  
  
  
    }
  
  
  
  
    
  
  
  
  
    @Bean
  
  
  
  
    public PasswordEncoder passwordEncoder() {
  
  
  
  
        return new PasswordEncoder() {
  
  
  
  
            @Override
  
  
  
  
            public boolean matches(CharSequence rawPassword, String encodedPassword) {
  
  
  
  
                return rawPassword.equals(encodedPassword) ;
  
  
  
  
            }
  
  
  
  
            @Override
  
  
  
  
            public String encode(CharSequence rawPassword) {
  
  
  
  
                return rawPassword.toString() ;
  
  
  
  
            }
  
  
  
  
        };
  
  
  
  
    }
  
  
  
  
    
  
  
  
  
    @Bean
  
  
  
  
    public DaoAuthenticationProvider daoAuthenticationProvider() {
  
  
  
  
        DaoAuthenticationProvider daoAuthen = new DaoAuthenticationProvider() ;
  
  
  
  
        daoAuthen.setPasswordEncoder(passwordEncoder());
  
  
  
  
        daoAuthen.setUserDetailsService(userDetailsService());
  
  
  
  
        daoAuthen.setHideUserNotFoundExceptions(false) ;
  
  
  
  
        return daoAuthen ;
  
  
  
  
    }
  
  
  
  
    
  
  
  
  
    @Bean
  
  
  
  
    public SessionRegistry sessionRegistry() {
  
  
  
  
        return new SessionRegistryImpl() ;
  
  
  
  
    }
  
  
  
  
    
  
  
  
  
    // 这个不配置sessionRegistry中的session不失效
  
  
  
  
    @Bean
  
  
  
  
    public HttpSessionEventPublisher httpSessionEventPublisher() {
  
  
  
  
        return new HttpSessionEventPublisher();
  
  
  
  
    }
  
  
  
  
    
  
  
  
  
    @Override
  
  
  
  
    protected void configure(HttpSecurity http) throws Exception {
  
  
  
  
        http
  
  
  
  
            .csrf().disable()
  
  
  
  
            .authorizeRequests()
  
  
  
  
            .antMatchers("/pos/**")
  
  
  
  
            .authenticated()
  
  
  
  
        .and()
  
  
  
  
            .formLogin()
  
  
  
  
            .loginPage("/sign/login")
  
  
  
  
        .and()
  
  
  
  
            .logout()
  
  
  
  
            .logoutSuccessHandler(logoutSuccessHandler)
  
  
  
  
            .logoutUrl("/sign/logout");
  
  
  
  
    // 这里配置最大同用户登录个数
  
  
  
  
        http.sessionManagement().maximumSessions(1).expiredUrl("/sign/login?expired").sessionRegistry(sessionRegistry()) ;
  
  
  
  
    }
  
  
  
  
    
  
  
  
  
}
 
 
 
 

•  Controller相关接口

 
 
 
 

  
  
  
  
@Controller
  
  
  
  
public class LoginController {
  
  
  
  
    
  
  
  
  
    @RequestMapping("/sign/login")
  
  
  
  
    public String login() {
  
  
  
  
        return "login" ;
  
  
  
  
    }
  
  
  
  
    
  
  
  
  
}
  
  
  
  
@RestController
  
  
  
  
@RequestMapping("/sign")
  
  
  
  
public class LogoutController {
  
  
  
  
    
  
  
  
  
    @GetMapping("/logout")
  
  
  
  
    public Object logout(HttpServletRequest request) {
  
  
  
  
        HttpSession session = request.getSession(false);
  
  
  
  
        if (session != null) {
  
  
  
  
            session.invalidate();
  
  
  
  
        }
  
  
  
  
        SecurityContext context = SecurityContextHolder.getContext();
  
  
  
  
        context.setAuthentication(null);
  
  
  
  
        SecurityContextHolder.clearContext();
  
  
  
  
        return "success" ;
  
  
  
  
    }
  
  
  
  
    
  
  
  
  
}
  
  
  
  
@RestController
  
  
  
  
@RequestMapping("/pos")
  
  
  
  
public class PosController {
  
  
  
  
    
  
  
  
  
    @GetMapping("")
  
  
  
  
    public Object get() {
  
  
  
  
        return "pos success" ;
  
  
  
  
    }
  
  
  
  
    
  
  
  
  
}
  
  
  
  
// 通过下面接口获取在线人数
  
  
  
  
@RestController
  
  
  
  
@RequestMapping("/sessions")
  
  
  
  
public class SessionController {
  
  
  
  
    
  
  
  
  
    @Resource
  
  
  
  
    private SessionRegistry sessionRegistry ;
  
  
  
  
    
  
  
  
  
    @GetMapping("")
  
  
  
  
    public Object list() {
  
  
  
  
        return sessionRegistry.getAllPrincipals() ;
  
  
  
  
    }
  
  
  
  
    
  
  
  
  
}
 
 
 
 

 测试：

在chrome浏览器用zs用户登录

用360浏览器也用zs登录

360登录后刷新chrome浏览器

登录已经失效了，配置的最大登录个数也生效了。

完毕!!!

网站题目：SpringBootSecurity防重登录及在线总数
分享链接：http://www.hantingmc.com/qtweb/news10/87410.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联