Spring Boot Security实现防重登录及在线总数的方法

发布时间:2021-07-05 18:19:56 作者:chen
来源:亿速云 阅读:410

这篇文章主要讲解了“Spring Boot Security实现防重登录及在线总数的方法”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“Spring Boot Security实现防重登录及在线总数的方法”吧!

环境:Spring Boot 2.2.11.RELEASE + JPA2

Security流程处理

Security的核心是Filter,下图是Security的执行流程

Spring Boot Security实现防重登录及在线总数的方法

详细步骤:

1.1

UsernamePasswordAuthenticationFilter的父类是AbstractAuthenticationProcessingFilter首先执行父类中的doFilter方法。

Spring Boot Security实现防重登录及在线总数的方法

1.2 执行

UsernamePasswordAuthenticationFilter中的attemptAuthentication方法

Spring Boot Security实现防重登录及在线总数的方法

这里实例化

UsernamePasswordAuthenticationToken对象存入用户名及密码进行接下来的验证

1.3 进入验证

this.getAuthenticationManager().authenticate(authRequest)  这里使用的是系统提供的ProviderManager对象进行验证

Spring Boot Security实现防重登录及在线总数的方法

关键是下面的这个for循环

Spring Boot Security实现防重登录及在线总数的方法

这里先判断AuthenticationProvider是否被支持

Class<? extends Authentication> toTest = authentication.getClass();

这里的toTest就是

UsernamePasswordAuthenticationFilter类中调用的如下对象

Spring Boot Security实现防重登录及在线总数的方法

1.4 既然要验证用户名密码,那我们肯定地提供一个AuthenticationProvider对象同时必须还得要支持

UsernamePasswordAuthenticationToken对象类型的。所以我们提供如下一个DaoAuthenticationProvider子类,查看该类

Spring Boot Security实现防重登录及在线总数的方法

关键在这个父类中,该父类中如下方法:

public boolean supports(Class<?> authentication) {         return (UsernamePasswordAuthenticationToken.class                 .isAssignableFrom(authentication));     }

也就说明我们只需要提供DaoAuthenticationProvider一个子类就能对用户进行验证了。

1.5 自定义DaoAuthenticationProvider子类

@Bean     public DaoAuthenticationProvider daoAuthenticationProvider() {         DaoAuthenticationProvider daoAuthen = new DaoAuthenticationProvider() ;         daoAuthen.setPasswordEncoder(passwordEncoder());         daoAuthen.setUserDetailsService(userDetailsService());         daoAuthen.setHideUserNotFoundExceptions(false) ;         return daoAuthen ;     }

1.6 执行前面for中的如下代码

result = provider.authenticate(authentication);

这里进入了DaoAuthenticationProvider的父类

AbstractUserDetailsAuthenticationProvider中的authenticate方法

该方法的核心方法

Spring Boot Security实现防重登录及在线总数的方法

retrieveUser方法在子类DaoAuthenticationProvider中实现

Spring Boot Security实现防重登录及在线总数的方法

如果这里返回了UserDetails(查询到用户)将进入下一步

1.7 进入密码的验证

Spring Boot Security实现防重登录及在线总数的方法

这里调用子类DaoAuthenticationProvider的方法

Spring Boot Security实现防重登录及在线总数的方法

剩下的就是成功后的事件处理,如果有异常进行统一的异常处理

Security登录授权认证

@Entity @Table(name = "T_USERS") public class Users implements UserDetails, Serializable {   private static final long serialVersionUID = 1L;     @Id   @GeneratedValue(generator = "system-uuid")   @GenericGenerator(name = "system-uuid", strategy = "uuid")   private String id ;   private String username ;   private String password ; }
public interface UsersRepository extends JpaRepository<Users, String>, JpaSpecificationExecutor<Users> {     Users findByUsernameAndPassword(String username, String password) ;     Users findByUsername(String username) ; }
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter {          @Resource     private UsersRepository ur ;     @Resource     private LogoutSuccessHandler logoutSuccessHandler ;          @Bean     public UserDetailsService userDetailsService() {         return username -> {             Users user = ur.findByUsername(username) ;             if (user == null) {                 throw new UsernameNotFoundException("用户名不存在") ;             }             return user ;         };     }          @Bean     public PasswordEncoder passwordEncoder() {         return new PasswordEncoder() {             @Override             public boolean matches(CharSequence rawPassword, String encodedPassword) {                 return rawPassword.equals(encodedPassword) ;             }             @Override             public String encode(CharSequence rawPassword) {                 return rawPassword.toString() ;             }         };     }          @Bean     public DaoAuthenticationProvider daoAuthenticationProvider() {         DaoAuthenticationProvider daoAuthen = new DaoAuthenticationProvider() ;         daoAuthen.setPasswordEncoder(passwordEncoder());         daoAuthen.setUserDetailsService(userDetailsService());         daoAuthen.setHideUserNotFoundExceptions(false) ;         return daoAuthen ;     }          @Bean     public SessionRegistry sessionRegistry() {         return new SessionRegistryImpl() ;     }          // 这个不配置sessionRegistry中的session不失效     @Bean     public HttpSessionEventPublisher httpSessionEventPublisher() {         return new HttpSessionEventPublisher();     }          @Override     protected void configure(HttpSecurity http) throws Exception {         http             .csrf().disable()             .authorizeRequests()             .antMatchers("/pos/**")             .authenticated()         .and()             .formLogin()             .loginPage("/sign/login")         .and()             .logout()             .logoutSuccessHandler(logoutSuccessHandler)             .logoutUrl("/sign/logout");     // 这里配置最大同用户登录个数         http.sessionManagement().maximumSessions(1).expiredUrl("/sign/login?expired").sessionRegistry(sessionRegistry()) ;     }      }
@Controller public class LoginController {          @RequestMapping("/sign/login")     public String login() {         return "login" ;     }      } @RestController @RequestMapping("/sign") public class LogoutController {          @GetMapping("/logout")     public Object logout(HttpServletRequest request) {         HttpSession session = request.getSession(false);         if (session != null) {             session.invalidate();         }         SecurityContext context = SecurityContextHolder.getContext();         context.setAuthentication(null);         SecurityContextHolder.clearContext();         return "success" ;     }      } @RestController @RequestMapping("/pos") public class PosController {          @GetMapping("")     public Object get() {         return "pos success" ;     }      } // 通过下面接口获取在线人数 @RestController @RequestMapping("/sessions") public class SessionController {          @Resource     private SessionRegistry sessionRegistry ;          @GetMapping("")     public Object list() {         return sessionRegistry.getAllPrincipals() ;     }      }

测试:

在chrome浏览器用zs用户登录

Spring Boot Security实现防重登录及在线总数的方法

用360浏览器也用zs登录

Spring Boot Security实现防重登录及在线总数的方法

360登录后刷新chrome浏览器

Spring Boot Security实现防重登录及在线总数的方法

登录已经失效了,配置的最大登录个数也生效了。

完毕!!!

感谢各位的阅读,以上就是“Spring Boot Security实现防重登录及在线总数的方法”的内容了,经过本文的学习后,相信大家对Spring Boot Security实现防重登录及在线总数的方法这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是亿速云,小编将为大家推送更多相关知识点的文章,欢迎关注!

推荐阅读:
  1. 详解Spring Security的HttpBasic登录验证模式
  2. 《深入实践Spring Boot》阅读笔记之二:分布式应用开发

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

spring boot security

上一篇:python中怎么实现分布式抓取网页

下一篇:Python中怎么构建一个布尔索引

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》