【SpringSecurity系列（十三）】只允许一台设备在线

31 2024-11-06

我们非常重视原创文章，为尊重知识产权并避免潜在的版权问题，我们在此提供文章的摘要供您初步了解。如果您想要查阅更为详尽的内容，访问作者的公众号页面获取完整文章。

查看原文：【SpringSecurity系列（十三）】只允许一台设备在线

文章来源：

江南一点雨

扫码关注公众号

《深入浅出Spring Security》摘要

《深入浅出Spring Security》已出版，为读者提供了Spring Security的学习材料。本文为系列文章的第十三篇，讲解如何实现在同一系统中自动踢掉前一个登录用户的功能。

1. 需求分析

一般系统出于安全或业务考虑，要求限制用户同时在多设备上登录。有两种实现思路：一是后来者登录时踢掉先前登录者，二是禁止新的登录尝试。Spring Security可以通过简单配置实现这两种需求。

2. 具体实现

2.1 踢掉已经登录用户

通过设置最大会话数为1，可以实现新登录踢掉旧登录。在Spring Security配置中设置maximumSessions(1)即可实现。测试时使用不同的浏览器或Chrome的多用户功能可以观察到效果，后登录的用户会导致先登录的用户session过期。

2.2 禁止新的登录

若不希望踢掉已经登录的用户，可以通过添加maxSessionsPreventsLogin(true)配置来禁止新的登录尝试。这样，一旦用户登录成功，其他尝试登录的操作将被阻止。此外，需要提供一个HttpSessionEventPublisher Bean以确保Spring Security能够及时感知到session的创建和销毁事件。

3. 实现原理

Spring Security通过监听session事件来实现上述功能。用户登录过程中经过UsernamePasswordAuthenticationFilter，该过程中会调用sessionStrategy.onAuthentication来处理session并发问题。具体实现位于ConcurrentSessionControlAuthenticationStrategy类中，它负责根据配置管理session的并发访问。