SpringSecurity-11-只允许一个用户登录

只允许一个用户登录

本文介绍了如何限制用户在系统中只能有一个活跃的Session，即一个用户同一时间只能在一个地方登录。这包括两种场景：如果用户在新地方登录，之前的登录会被下线；或者如果用户已经登录，其再次登录的尝试会被阻止。

同一个用户在第二个地方登录，则将第一个登录退出

要实现第一种场景，需要重构LearnSrpingSecurity的configure(HttpSecurity http)方法，并自定义SessionInformationExpiredStrategy实现类来定制策略。这个策略会在用户的最大session数被超过时调用。具体步骤如下：

• 在HttpSecurity的sessionManagement中配置maximumSessions(1)限制最大session数为1。
• 实现自定义的SessionInformationExpiredStrategy来处理旧的session失效的情况。

测试：当一个用户在不同的浏览器中登录时，先前的登录会被注销，用户会看到一个被下线的提示。

如果同一个用户在第二个地方登录，则不允许二次登录

要阻止用户进行二次登录，可以在sessionManagement配置中添加.maxSessionsPreventsLogin(true)。当尝试进行第二次登录时，系统将不允许登录。

测试：当用户尝试在不同浏览器中登录时，第二次登录尝试被阻止。

解决同一用户的手机重复登录问题

如果一个用户已经使用用户名登录，系统中还允许使用手机号进行登录。为了解决这个问题，需要在SmsCodeSecurityConfig中指定SessionAuthenticationStrategy。这样，无论是使用用户名还是手机号，用户的登录将被统一管理。

退出系统

如果配置了.maxSessionsPreventsLogin(true)，用户在登录后退出系统再尝试登录时，可能会遇到不能重复登录的提示。这是因为系统在用户退出时并没有从SessionRegistryImpl.principals缓存中删除用户信息。为了解决这个问题，应当在退出登录时正确处理Session信息。