shiro:
Apache Shiro 是 Java 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。
更多shiro介绍参考:https://www.cnblogs.com/huhongy/p/8000049.html
springboot与shiro整合:
第一步:引入pom文件:
第二步:自定义的UserRealm:
第三步:登陆login:
第四步:shiro的配置文件:
到这shiro基本整合完毕:后期我会完成配置一个完整的权限
整合问题:
1:junit测试报错:UnavailableSecurityManagerException
解决办法:缺少安全管理器,因为junit没注入进来,
配置后在junit测试就可以了
2:同一用户的单一登陆问题解决:在loginController加上:
然后调用即可“
第二种方式:过滤器实现:
/**
*
* @Title: KickoutSessionControlFilter.java
* @Package com.agood.bejavagod.controller.filter
* @Description: 同一用户后登陆踢出前面的用户
*/
public class KickoutSessionControlFilter extends AccessControlFilter { private String kickoutUrl; //踢出后到的地址
private boolean kickoutAfter = false; //踢出之前登录的/之后登录的用户 默认踢出之前登录的用户
private int maxSession = ; //同一个帐号最大会话数 默认1 private SessionManager sessionManager;
private Cache<String, Deque<Serializable>> cache; public void setKickoutUrl(String kickoutUrl) {
this.kickoutUrl = kickoutUrl;
} public void setKickoutAfter(boolean kickoutAfter) {
this.kickoutAfter = kickoutAfter;
} public void setMaxSession(int maxSession) {
this.maxSession = maxSession;
} public void setSessionManager(SessionManager sessionManager) {
this.sessionManager = sessionManager;
} public void setCacheManager(CacheManager cacheManager) {
this.cache = cacheManager.getCache("shiro-kickout-session");
} @Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
return false;
} @Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
Subject subject = getSubject(request, response);
if(!subject.isAuthenticated() && !subject.isRemembered()) {
//如果没有登录,直接进行之后的流程
return true;
} Session session = subject.getSession();
ActiveUser user = (ActiveUser)subject.getPrincipal();
String username = user.getUserName();
Serializable sessionId = session.getId(); // 同步控制
Deque<Serializable> deque = cache.get(username);
if(deque == null) {
deque = new LinkedList<Serializable>();
cache.put(username, deque);
} //如果队列里没有此sessionId,且用户没有被踢出;放入队列
if(!deque.contains(sessionId) && session.getAttribute("kickout") == null) {
deque.push(sessionId);
} //如果队列里的sessionId数超出最大会话数,开始踢人
while(deque.size() > maxSession) {
Serializable kickoutSessionId = null;
if(kickoutAfter) { //如果踢出后者
kickoutSessionId = deque.removeFirst();
} else { //否则踢出前者
kickoutSessionId = deque.removeLast();
}
try {
Session kickoutSession = sessionManager.getSession(new DefaultSessionKey(kickoutSessionId));
if(kickoutSession != null) {
//设置会话的kickout属性表示踢出了
kickoutSession.setAttribute("kickout", true);
}
} catch (Exception e) {//ignore exception
}
} //如果被踢出了,直接退出,重定向到踢出后的地址
if (session.getAttribute("kickout") != null) {
//会话被踢出了
try {
subject.logout();
} catch (Exception e) { //ignore
}
saveRequest(request); HttpServletRequest httpRequest = WebUtils.toHttp(request);
if (ShiroFilterUtils.isAjax(httpRequest)) {
HttpServletResponse httpServletResponse = WebUtils.toHttp(response);
httpServletResponse.sendError(ShiroFilterUtils.HTTP_STATUS_SESSION_EXPIRE);
return false;
} else {
WebUtils.issueRedirect(request, response, kickoutUrl);
return false;
}
} return true;
}
}
第三种方式: MemorySessionDAO 实现:
Subject subject = SecurityUtils.getSubject();
Collection<Session> sessions = sessionDao.getActiveSessions();
if (subject.isAuthenticated()) {
for (Session session : sessions) {
//方法一、当第二次登录时,给出提示“用户已登录”,停留在登录页面
if(username.equals(session.getAttribute("loginedUser"))){
subject.logout();
throw new RuntimeException("用户已登录");
}
//方法二、当第二次登录时,把第一个session剔除
// if(username.equals(session.getAttribute("loginedUser"))){
// session.setTimeout(0);
// }
}
}