spring security 3.0的控制一个帐号只允许一次登录
spring security 3.0里面明确的说明了:
session-management段里面的concurrency-control是控制一个帐号最多允许登录多少次的,比如<concurrency-control max-sessions="1"/>就是一次,2当然是两次。
所有搜到的帖子,凡是提到concurrency-control这个的,我不知道有没有人试过真的好用吗?
我配置了以后发现根本就控制不住。
打开了springsecurity的debug日志,还是难以发现原因。
因为网上根本搜不到几个这方面的错误,让我误以为是我个人配置问题,就没有看代码;最后不得已挂上了spring security的代码一看,直接晕菜。
org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy
里面的checkAuthenticationAllowed方法,调用了sessionRegistry.getAllSessions,用authentication.getPrincipal(),也就是UserDetails实现对象。
但是sessionRegistry存储的时候使用的是Hash的数据结构,所以UserDetails实现类必须重写equals和hashCode。
另外网上发帖的基本就是抄来抄去,其实只要你加了concurrency-control配置,即使不写max-sessions属性,在org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy里面maximumSessions的默认值是1!
写下来省的后人走弯路。 你早说啊,这个问题我在去年10月用springsecurity3时候就发现了,从测试版一直用到正式版,还是没解决,一直以为是bug,后来发现是UserDetails的问题,在实现登录用户时,如果你自己的user实体实现UserDetails,session并发就会失效,使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。 你早说啊,这个问题我在去年10月用springsecurity3时候就发现了,从测试版一直用到正式版,还是没解决,一直以为是bug,后来发现是UserDetails的问题,在实现登录用户时,如果你自己的user实体实现UserDetails,session并发就会失效,使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。
不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的,而且这个项目是使用Email登录,所以也没用username属性。 你早说啊,这个问题我在去年10月用springsecurity3时候就发现了,从测试版一直用到正式版,还是没解决,一直以为是bug,后来发现是UserDetails的问题,在实现登录用户时,如果你自己的user实体实现UserDetails,session并发就会失效,使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。
不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的,而且这个项目是使用Email登录,所以也没用username属性。
弱弱问一下,CredentialsContainer这个接口是做什么?把error-if-maximum-exceeded去掉就ok了。
因为你关闭浏览器不等于session生命周期结束。把error-if-maximum-exceeded去掉就ok了。
因为你关闭浏览器不等于session生命周期结束。
This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).)
这样就防止不了一个用户只能登录一次了.把error-if-maximum-exceeded去掉就ok了。
因为你关闭浏览器不等于session生命周期结束。
This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).)
这样就防止不了一个用户只能登录一次了.
可以控制。已经登录的情况下,下一个登录可以失败或者踢掉前一个,踢掉才是正确选择。 <intercept-url pattern="/login/login.jsp" filters="none" />
<intercept-url pattern="/JS/**" filters="none"/>
<intercept-url pattern="/CSS/**" filters="none"/>
<intercept-url pattern="/login/images/**" filters="none"/>
<intercept-url pattern="/**" access = "IS_AUTHENTICATED_FULLY"/>
<form-login
login-page="/login/login.jsp"
authentication-failure-handler-ref="failureHandler"
authentication-success-handler-ref="successHandler"
login-processing-url="/j_spring_security_check"
/>
<logout logout-success-url="/login/login.jsp"/>
<!-- 会话管理 暂时不能用 -->
<session-management>
<concurrency-control error-if-maximum-exceeded="true" max-sessions="1"/>
</session-management>
<custom-filter
ref="myFilterSecurityInterceptor"
before="FILTER_SECURITY_INTERCEPTOR"/>
</http>
我这样配置,但还是能够登入,不会踢出来