?
目錄貼: ?跟我學(xué)Shiro目錄貼
?
在某些項目中可能會遇到如每個賬戶同時只能有一個人登錄或幾個人同時登錄,如果同時有多人登錄:要么不讓后者登錄;要么踢出前者登錄(強制退出)。比如 spring security 就直接提供了相應(yīng)的功能; Shiro 的話沒有提供默認實現(xiàn),不過可以很容易的在 Shiro 中加入這個功能。
?
示例代碼基于《第十六章 ? 綜合實例》完成,通過 Shiro Filter 機制擴展 KickoutSessionControlFilter 完成。
?
首先來看看如何配置使用( spring-config-shiro.xml )
??
kickoutSessionControlFilter 用于控制并發(fā)登錄人數(shù)的?
<bean id="kickoutSessionControlFilter"
class="com.github.zhangkaitao.shiro.chapter18.web.shiro.filter.KickoutSessionControlFilter">
<property name="cacheManager" ref="cacheManager"/>
<property name="sessionManager" ref="sessionManager"/>
<property name="kickoutAfter" value="false"/>
<property name="maxSession" value="2"/>
<property name="kickoutUrl" value="/login?kickout=1"/>
</bean>?
cacheManager :使用 cacheManager 獲取相應(yīng)的 cache 來緩存用戶登錄的會話;用于保存用戶—會話之間的關(guān)系的;
sessionManager :用于根據(jù)會話 ID ,獲取會話進行踢出操作的;
kickoutAfter :是否踢出后來登錄的,默認是 false ;即后者登錄的用戶踢出前者登錄的用戶;
maxSession :同一個用戶最大的會話數(shù),默認 1 ;比如 2 的意思是同一個用戶允許最多同時兩個人登錄;
kickoutUrl :被踢出后重定向到的地址;
?
shiroFilter 配置?
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/login"/>
<property name="filters">
<util:map>
<entry key="authc" value-ref="formAuthenticationFilter"/>
<entry key="sysUser" value-ref="sysUserFilter"/>
<entry key="kickout" value-ref="kickoutSessionControlFilter"/>
</util:map>
</property>
<property name="filterChainDefinitions">
<value>
/login = authc
/logout = logout
/authenticated = authc
/** = kickout,user,sysUser
</value>
</property>
</bean>?
此處配置除了登錄等之外的地址都走 kickout 攔截器進行并發(fā)登錄控制。
?
測試
此處因為 maxSession=2 ,所以需要打開 3 個瀏覽器(需要不同的瀏覽器,如 IE 、 Chrome 、 Firefox ),分別訪問 http://localhost:8080/chapter18/ 進行登錄;然后刷新第一次打開的瀏覽器,將會被強制退出,如顯示下圖:?
KickoutSessionControlFilter核心代碼: ?
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
Subject subject = getSubject(request, response);
if(!subject.isAuthenticated() && !subject.isRemembered()) {
//如果沒有登錄,直接進行之后的流程
return true;
}
Session session = subject.getSession();
String username = (String) subject.getPrincipal();
Serializable sessionId = session.getId();
//TODO 同步控制
Deque<Serializable> deque = cache.get(username);
if(deque == null) {
deque = new LinkedList<Serializable>();
cache.put(username, deque);
}
//如果隊列里沒有此sessionId,且用戶沒有被踢出;放入隊列
if(!deque.contains(sessionId) && session.getAttribute("kickout") == null) {
deque.push(sessionId);
}
//如果隊列里的sessionId數(shù)超出最大會話數(shù),開始踢人
while(deque.size() > maxSession) {
Serializable kickoutSessionId = null;
if(kickoutAfter) { //如果踢出后者
kickoutSessionId = deque.removeFirst();
} else { //否則踢出前者
kickoutSessionId = deque.removeLast();
}
try {
Session kickoutSession =
sessionManager.getSession(new DefaultSessionKey(kickoutSessionId));
if(kickoutSession != null) {
//設(shè)置會話的kickout屬性表示踢出了
kickoutSession.setAttribute("kickout", true);
}
} catch (Exception e) {//ignore exception
}
}
//如果被踢出了,直接退出,重定向到踢出后的地址
if (session.getAttribute("kickout") != null) {
//會話被踢出了
try {
subject.logout();
} catch (Exception e) { //ignore
}
saveRequest(request);
WebUtils.issueRedirect(request, response, kickoutUrl);
return false;
}
return true;
}?
此處使用了 Cache 緩存用戶名—會話 id 之間的關(guān)系;如果量比較大可以考慮如持久化到數(shù)據(jù)庫 / 其他帶持久化的 Cache 中;另外此處沒有并發(fā)控制的同步實現(xiàn),可以考慮根據(jù)用戶名獲取鎖來控制,減少鎖的粒度。
?
另外可參考 JavaEE 項目開發(fā)腳手架,其提供了后臺踢出用戶的功能:
? ??
?
?
示例源代碼: https://github.com/zhangkaitao/shiro-example ;可加群 231889722?探討Spring/Shiro技術(shù)。
? ? ? ??
??
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯(lián)系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
