Shiro单用户登录,清理之前登录的用户

原创 已于 2022-07-04 10:43:28 修改 · 594 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#java #服务器 #开发语言
于 2022-03-11 14:38:42 首次发布
本文详细探讨了Apache Shiro框架如何实现单用户登录功能,通过清理旧Session来确保同一用户只能有一个在线会话。代码示例展示了如何获取并遍历所有活跃Session,删除除当前用户Session外的其他Session,以实现单点登录的效果。方法一是通过User对象,方法二是通过userName字符串,两种方式都确保了用户登录的唯一性。

刨析 Shiro 的 SecurityManager 实现单用户登录

通过这个可以看出 SecurityManager 中存储了那些 SessionId ,

public void getShiroManagerCache() {
	System.out.println("查询保存到ShiroManagerCache的SessionId为~");
	String currentUserSessionId = SecurityUtils.getSubject().getSession().getId().toString();
	System.out.println(currentUserSessionId);
	CrmSysUser user = (CrmSysUser) SecurityUtils.getSubject().getPrincipal();
	DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager();
	DefaultWebSessionManager sessionManager = (DefaultWebSessionManager) securityManager.getSessionManager();
	Collection<Session> sessions = sessionManager.getSessionDAO().getActiveSessions();
	if (sessions.size() > 1) {
		for (Session onlineSession : sessions) {
			System.out.println("SessionId为[" + onlineSession.getId() + "]的Session信息!");
		}
	}
}

在这里插入图片描述

Shiro单用户登录,清理之前登录的用户 ,以下的方法会清除掉其他的 SessionId

/**
*	new SimpleAuthenticationInfo(user, pwd, this.getName())中的第一个参数是SysUser对象,
*	在其他接收的地方也要转成SysUser对象,使用对象这里对应的处理方式是采用方法一,
*	如果是传递的userName字符串,则采用方法二进行处理
*/
SimpleAuthenticationInfo authcInfo = new SimpleAuthenticationInfo(user, pwd, this.getName());

方法一:传入的参数是User对象

/**
 * @功能描述:	单用户登录,清除当前用户以前登录时保存的session会话
 * @param loginName
 */
public void singleUseLogin(String loginName){
	// 1.获取当前用户sessionId
	String currentUserSessionId = SecurityUtils.getSubject().getSession().getId().toString();

	// 2.获取shiro的sessionManager
	DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager();
	DefaultWebSessionManager sessionManager = (DefaultWebSessionManager)securityManager.getSessionManager();

	// 3.获取所有已登录用户的session列表
	Collection<Session> sessions = sessionManager.getSessionDAO().getActiveSessions();

	if (sessions.size() > 1) {
		System.out.println("仅允许单用户登录,开始清理遗留用户信息~");
		User user = null;
		for(Session onlineSession:sessions){
			// 4. 获取已登录用户的session的key值
			SimplePrincipalCollection simplePrincipalCollection = (SimplePrincipalCollection) onlineSession.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY);
			if (null == simplePrincipalCollection) {
				sessionManager.getSessionDAO().delete(onlineSession);
				continue;
			}
			// 5. 获取new SimpleAuthenticationInfo(user, pwd, this.getName())中放进去的第一个参数
			user = (User) simplePrincipalCollection.getPrimaryPrincipal();

			// 6. 清除当前用户以前登录时保存的session会话
			if (loginName.equals(user.getUserName()) && !onlineSession.getId().equals(currentUserSessionId)) {
				sessionManager.getSessionDAO().delete(onlineSession);
				System.out.println("清理用户["+loginName+"],SessionId为["+onlineSession.getId()+"]的Session信息!");
			}
		}
	} else {
		System.out.println("无可清理用户信息~");
	}
}

方法二:传入的参数是userName字符串

登录后复制
/**
 * @功能描述:	单用户登录,清除当前用户以前登录时保存的session会话
 * @param loginName
 */
public void singleUseLogin(HttpServletRequest request,String loginName){
	// 1.获取当前用户sessionId
	String currentUserSessionId = request.getSession().getId();

	// 2.获取shiro的sessionManager
	DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager();
	DefaultWebSessionManager sessionManager = (DefaultWebSessionManager)securityManager.getSessionManager();

	// 3.获取所有已登录用户的session列表
	Collection<Session> sessions = sessionManager.getSessionDAO().getActiveSessions();

	// 处理方法一:UserRalm中传入的是userName使用此方法
	String onlineSessionKey = "";
	for(Session onlineSession:sessions){
		// 4.获取已登录用户的session的key值
		onlineSessionKey = String.valueOf(onlineSession.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY));
		// 5.清除当前用户以前登录时保存的session会话
		System.out.println(onlineSession.getId()+"------" + onlineSessionKey);

		if (onlineSessionKey.equals("null")) {
			sessionManager.getSessionDAO().delete(onlineSession);
		} else if (loginName.equals(onlineSessionKey) && !onlineSession.getId().equals(currentUserSessionId)) {
			sessionManager.getSessionDAO().delete(onlineSession);
		}
	}
}

方法二,优化版

/**
 * @功能描述:   单用户登录,清除当前用户以前登录时保存的session会话
 * @param loginName
 */
public void singleUseLogin(String loginName){
    // 1.获取当前用户sessionId
    String currentUserSessionId = SecurityUtils.getSubject().getSession().getId().toString();
    // 2.获取当前用户
    User user = (User) SecurityUtils.getSubject().getPrincipal();
    // 3.获取shiro的sessionManager
    DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager();
    DefaultWebSessionManager sessionManager = (DefaultWebSessionManager)securityManager.getSessionManager();
    // 4.获取所有已登录用户的session列表
    Collection<Session> sessions = sessionManager.getSessionDAO().getActiveSessions();
 
    if (sessions.size() > 1) {
        System.out.println("仅允许单用户登录,开始清理遗留用户信息~");
        for(Session onlineSession:sessions){
            // 5. 清除当前用户以前登录时保存的session会话
            if (loginName.equals(user.getUserName()) && !onlineSession.getId().equals(currentUserSessionId)) {
                sessionManager.getSessionDAO().delete(onlineSession);
                System.out.println("清理用户["+loginName+"],SessionId为["+onlineSession.getId()+"]的Session信息!");
            }
        }
    } else {
        System.out.println("无可清理用户信息~");
    }
}

# 这个的底层的作者还在继续深入研究 中,想看看能不能仿照写一个进行学习
shiro实现用户踢出,在线用户列表展示功能,包含常见踩坑集合、代码下载
风团团
01-25 1532
功能描述:用户a登录了s账号,接着用户b也登录了s账号,此时用户a将被踢出。一个账号只能一个人登录,被别人登录了,那么你就要被踢下线。 shiro认证与授权理解 用户登录的时候只执行认证方法而没有马上去执行授权doGetAuthorizationInfo()方法。 shiro并不是在认证之后就马上对用户授权,而是在用户认证通过之后,接下来要访问的资源或者目标方法需要权限的时候才会调用doGetAuthorizationInfo()方法,进行授权. 比如当认证通过后,访问@RequiresPermis.
shiro框架如何保持登录状态
weixin_40835745的博客
12-17 4450
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、shiro保持登录状态的方式?二、具体过程1.登录系统2.关闭浏览器3.登出系统4.RememberMe功能总结 前言 最近一段时间在研究shiro框架,发现网上很少有讲在登录之后,shiro是如何保持登陆状态的,或者换句话说就是后台服务能够在你登录之后,知道你是谁,知道你有哪些权限,知道你的角色是什么 一、shiro保持登录状态的方式? 现在大部分的web项目都是采用前后端分离的架构,而保持登录状态采用的最多的方式是请
shiro获取session用户_Shiro单用户登录,清理之前登录用户
weixin_36436373的博客
02-04 981
在自定义的realm中的doGetAuthenticationInfo方法中定义,根据传入参数类型的不同选择对应的处理方法/*** new SimpleAuthenticationInfo(user, pwd, this.getName())中的第一个参数是SysUser对象,* 在其他接收的地方也要转成SysUser对象,使用对象这里对应的处理方式是采用方法一,* 如果是传递的use...
shiro同一用户后登陆踢出前面的用户
qq_40543150的博客
01-24 3566
直接上代码 下面就是我实现的访问控制拦截器:KickoutSessionControlFilter: public class KickoutSessionControlFilter extends AccessControlFilter { private static Logger logger = LoggerFactory.getLogger(KickoutSessionContro...
Shiro获取当前所有的在线用户列表
m0_67402731的博客
03-28 952
检索配置所用的SessionDao,一般去shiro配置文件或者配置类里面去找,当然如果实在找不到,随便定义一个SessionDao,报错信息会告诉你正确的SessionDao是啥的。。 实现代码如下 @Resource MemorySessionDAO sessionDAO; /** * 获取指定用户名的Session * * @return */ public Session getSessionByUsername(String useri
java shiro获取当前在线用户_Springboot+Shiro记录用户登录信息并获取当前登录用户信息的实现代码...
weixin_39964660的博客
03-03 880
由于最近做项目需要,在用户登陆后有一个功能是需要用户的信息,进行写入数据库的操作。但是目前还用不到Shiro的高级权限,只为了简单获取用户信息,自己整合了一个只记录用户,获取用户信息的功能。导入Shiro依赖org.apache.shiroshiro-spring1.4.0User类这个类只需要自己定义一个username(可以其他的phone、email都行)和password(密码)就可以,其...
shiro实现单用户登录
weixin_44060936的博客
08-21 1730
shiro实现同一账号同时只能单用户登录 一.shiro中的过滤器 non org.apache.shiro.web.filter.authc.AnonymousFilter 匿名过滤器 authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter 如果继续操作,需要做对应的表单验证否则不能通过 authcBa...
Shiro - 关于session
dengtangu7674的博客
12-01 632
Shiro Session session管理可以说是Shiro的一大卖点。 Shiro可以为任何应用(从简单的命令行程序还是手机应用再到大型企业应用)提供会话解决方案。 在Shiro出现之前,如果我们想让你的应用支持session,我们通常会依赖web容器或者使用EJB的Session Bean。 Shiro对session的支持更加易用,而且他可以在任何应用、任...
shiro:解决登录前后session值不一样的问题
默默无闻的黄先生的博客
09-15 1344
登录方法的开头加上: //清楚客户端cookie中的session Cookie [] cookies = request.getCookies(); for(Cookie cookie:cookies){ cookie.setPath(“/”); cookie.setMaxAge(0); response.addCookie(cookie); request.getSession().invalidate();//清除服务端s...
ssm整合shiro框架,要求登录前后更新Cookie或者Session
weixin_43253247的博客
08-24 708
登录前后会话标识不变容易被别有用心的人利用,所以强制更新会话标识。 SecurityUtils.getSubject().logout(); 在登录前告诉系统之前的会话标识作废,重新生成会话标识
ModelViewSet使用!!
dasfa11的博客
09-30 6140
ModelViewSet源码 class ModelViewSet(mixins.CreateModelMixin, mixins.RetrieveModelMixin, mixins.UpdateModelMixin, mixins.DestroyModelMixin, mixins.ListModelMixin, G
shiro subject.getprincipal()为null_(变强、变秃)Java从零开始之Shiro安全框架
weixin_39977547的博客
12-08 1674
Shiro安全框架一、Shiro简介二、Shiro架构图三、Shiro涉及常见名词四、Shiro配置文件详解shiro.ini 文件放在 classpath 下 ,shiro 会自动查找。其中格式是 key/value 键值对配置。 INI 配置文件一般适用于用户少且不需要在运行时动态创建的 情景下使用。 ini 文件中主要配置有四大类: main , users , roles , urls 示...
shiro源码分析(二)Subject和Session
weixin_34130389的博客
02-07 601
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro中的session学习,在线用户显示、用户下线
程序员小嗨
06-14 3518
一、代码示例 import org.apache.shiro.session.Session; import org.apache.shiro.session.mgt.eis.SessionDAO; import org.apache.shiro.subject.SimplePrincipalCollection; import org.apache.shiro.subject.suppo...
shiro 删除用户session_如何设置shiro保持登陆状态?
weixin_29138345的博客
02-11 690
redis存shiro的session重写了EnterpriseCacheSessionDAO.doUpdate,每次更新都会去改session key对应的存活时间(TTL)需求:比如设置了session过期时间是1个小时然后我希望,在这1个小时的时间内,如果用户一直在访问网站的页面(调用了后台api),session的存活时间就延长下去,比如过期时间=当前访问网站这个时刻+1小时实际情况是:用...
在使用线程池+shiro情况下,shiro获取session时数据异常问题探究
weixin_48510551的博客
10-18 1398
使用线程池创建多线程时,shiro获取session异常问题探究
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT小郭.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值