spring-security - spring security 4 如何踢出用户?
本文介绍了spring-security - spring security 4 如何踢出用户?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
问 题
项目用的是spring boot 1.3 全javaconfig 配置
目的 :
我要踢出一个登录在线的用户,踢出后,剔出的用户再次访问服务器的时候会去到登录界面,
security 配置 :
http
.authorizeRequests()
.antMatchers("/app/views/assets/**", "/app/apk/**", "/assets/**", "/view/**")
.permitAll().anyRequest().authenticated()
.and()
.formLogin().loginPage("/login").loginProcessingUrl("/loginLoc")
.successHandler(customSuccessHandler).failureHandler(customErrorHandler)
.permitAll()
.and().sessionManagement().invalidSessionUrl("/login").maximumSessions(-1).maxSessionsPreventsLogin(true).sessionRegistry(sessionRegistry())
.and()
.and()
.logout().logoutSuccessUrl("/login").permitAll()
.and().csrf().disable();
踢出的代码:
List<Object> allPrincipals = sessionRegistry.getAllPrincipals();
for (int j = 0; j < allPrincipals.size(); j++) {
CustomUser customUser = (CustomUser) allPrincipals.get(j);
if (customUser.getUsername().equals(username)) {
List<SessionInformation> allSessions = sessionRegistry.getAllSessions(customUser, false);
if (allSessions != null) {
for (int i = 0; i < allSessions.size(); i++) {
SessionInformation sessionInformation = allSessions.get(i);
sessionInformation.expireNow();
sessionRegistry.removeSessionInformation(sessionInformation.getSessionId());
}
}
}
}
执行倒是成功了,踢出后sessionRegistry.getAllPrincipals()返回确实是少了一个(已经没有踢出的那个用户了)。
但是剔出的用户还是可以正常的访问服务器,按理来说,踢出后再次访问应该会找不到session然后跳转到登录去吗? 莫非还要我自己在写一个过滤器,每次都判断这个用户在不在sessionRegistry.getAllPrincipals()里面吗?
怎么才能正常工作 ?
解决方案
删除这一句:
sessionRegistry.removeSessionInformation(sessionInformation.getSessionId());
原因这里可以看到
这篇关于spring-security - spring security 4 如何踢出用户?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文