首页 诗词 字典 板报 句子 名言 友答 励志 学校 网站地图
当前位置: 首页 > 教程频道 > 软件管理 > 软件架构设计 >

spring security 3.0的统制一个帐号只允许一次登录

2012-10-25 
spring security 3.0的控制一个帐号只允许一次登录spring security 3.0里面明确的说明了:session-manageme

spring security 3.0的控制一个帐号只允许一次登录
spring security 3.0里面明确的说明了:
session-management段里面的concurrency-control是控制一个帐号最多允许登录多少次的,比如<concurrency-control max-sessions="1"/>就是一次,2当然是两次。
所有搜到的帖子,凡是提到concurrency-control这个的,我不知道有没有人试过真的好用吗?
我配置了以后发现根本就控制不住。

打开了springsecurity的debug日志,还是难以发现原因。
因为网上根本搜不到几个这方面的错误,让我误以为是我个人配置问题,就没有看代码;最后不得已挂上了spring security的代码一看,直接晕菜。
org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy
里面的checkAuthenticationAllowed方法,调用了sessionRegistry.getAllSessions,用authentication.getPrincipal(),也就是UserDetails实现对象。
但是sessionRegistry存储的时候使用的是Hash的数据结构,所以UserDetails实现类必须重写equals和hashCode。

另外网上发帖的基本就是抄来抄去,其实只要你加了concurrency-control配置,即使不写max-sessions属性,在org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy里面maximumSessions的默认值是1!

写下来省的后人走弯路。 你早说啊,这个问题我在去年10月用springsecurity3时候就发现了,从测试版一直用到正式版,还是没解决,一直以为是bug,后来发现是UserDetails的问题,在实现登录用户时,如果你自己的user实体实现UserDetails,session并发就会失效,使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。 你早说啊,这个问题我在去年10月用springsecurity3时候就发现了,从测试版一直用到正式版,还是没解决,一直以为是bug,后来发现是UserDetails的问题,在实现登录用户时,如果你自己的user实体实现UserDetails,session并发就会失效,使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。
不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的,而且这个项目是使用Email登录,所以也没用username属性。 你早说啊,这个问题我在去年10月用springsecurity3时候就发现了,从测试版一直用到正式版,还是没解决,一直以为是bug,后来发现是UserDetails的问题,在实现登录用户时,如果你自己的user实体实现UserDetails,session并发就会失效,使用springsecurity自己的user实现就可以。
你的文章来的太晚了。。。
不好意思我才发现public class User implements UserDetails, CredentialsContainer
还有这么个类。
我一直是自己实现User类的,而且这个项目是使用Email登录,所以也没用username属性。
弱弱问一下,CredentialsContainer这个接口是做什么?把error-if-maximum-exceeded去掉就ok了。

因为你关闭浏览器不等于session生命周期结束。把error-if-maximum-exceeded去掉就ok了。

因为你关闭浏览器不等于session生命周期结束。
This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).) 
这样就防止不了一个用户只能登录一次了.把error-if-maximum-exceeded去掉就ok了。

因为你关闭浏览器不等于session生命周期结束。
This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).) 
这样就防止不了一个用户只能登录一次了.

可以控制。已经登录的情况下,下一个登录可以失败或者踢掉前一个,踢掉才是正确选择。        <intercept-url pattern="/login/login.jsp" filters="none" />
        <intercept-url pattern="/JS/**" filters="none"/>
        <intercept-url pattern="/CSS/**" filters="none"/>
        <intercept-url pattern="/login/images/**" filters="none"/>
        <intercept-url pattern="/**" access = "IS_AUTHENTICATED_FULLY"/>
        <form-login
        login-page="/login/login.jsp"
        authentication-failure-handler-ref="failureHandler"
        authentication-success-handler-ref="successHandler"
        login-processing-url="/j_spring_security_check"
        />
        <logout logout-success-url="/login/login.jsp"/>
        <!-- 会话管理  暂时不能用 -->
        <session-management>
<concurrency-control error-if-maximum-exceeded="true"  max-sessions="1"/>
    </session-management>

        <custom-filter
        ref="myFilterSecurityInterceptor"
        before="FILTER_SECURITY_INTERCEPTOR"/>
       
       
    </http>


我这样配置,但还是能够登入,不会踢出来

热点排行