1.前言
spring security 支持对session的管理 ,
http.sessionManagement().maximumSessions(1);的意思的开启session管理,session并发最多一个,超出后,
旧的session被注销,新的会注册,这种操作称为缺省实现 。
session缺省实现原理是将session记录在内存map中,因此不能用于集群环境中,会导致服务器1中记录的信息和服务器2记录的信息并不相同;
解决的方案是使用spring session ,session存在redis里面作为共享信息【具体以后的随笔会详细讲解,这里不多解释】
2.操作
使用上一随笔做的spring security前后端分离跨域的工程做测试
security完整配置
package com.example.securityqh5601.config.security;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.session.SessionRegistry;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
//这个加不加无所谓
//@Configuration
//开启security自定义配置
@EnableWebSecurity
//开启 Controller层的访问方法权限,与注解@PreAuthorize("hasRole('ROLE_admin')")配合,会拦截注解了@PreAuthrize注解的配置
// 想要@PreAuthorize正确执行 ,权限关键字必须带前缀 ROLE_ ,后面的部分可以随便写!!!!靠,琢磨了4小时了 ,终于找到原因了
@EnableGlobalMethodSecurity(prePostEnabled = true)
//
public class WebSecurityConfig2 extends WebSecurityConfigurerAdapter {
//实例自定义登录校验接口 【内部有 数据库查询】
@Autowired
private DbUserDetailsService2 dbUserDetailsService;
/**
* 忽略过滤的静态文件路径
*/
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring()
.antMatchers(
"/js/**/*.js",
"/css/**/*.css",
"/img/**",
"/html/**/*.html"
);
}
/**
* 全局的跨域配置
*/
@Bean
public WebMvcConfigurer WebMvcConfigurer() {
return new WebMvcConfigurer() {
public void addCorsMappings(CorsRegistry corsRegistry) {
//仅仅让/login可以跨域
corsRegistry.addMapping("/login").allowCredentials(true).allowedHeaders("*");
//仅仅让/logout可以跨域
corsRegistry.addMapping("/logout").allowCredentials(true).allowedHeaders("*");
//允许所有接口可以跨域访问
//corsRegistry.addMapping("/**").allowCredentials(true).allowedHeaders("*");
}
};
}
//拦截规则设置
@Override
protected void configure(HttpSecurity http) throws Exception {
//开启授权认证
//开启跨域共享,关闭同源策略【允许跨域】
http.cors()
//跨域伪造请求=无效,
.and().csrf().disable();
//配置路径拦截规则
http.authorizeRequests()
// 只要有 "user","admin"任意最少一个权限即可访问路径"/user/**"的所有接口
// .antMatchers("/user/**").hasAnyAuthority("ROLE_user", "ROLE_admin")
// //只有权限"admin"才可以访问"/admin/**"所有路径 和 接口 "/vip"
// .antMatchers("/admin/**", "/vip").hasAuthority("ROLE_admin")
//所有请求都需要验证,必须要放在antMatchers路径拦截之后,不然拦截失效
.anyRequest().authenticated();
// //路径拦截权限的名称必须与权限列表注册的一样,经过测试,方法级别的注解权限需要ROLE_前缀 ,因此,
// 路径拦截权限的名称、注解权限名称、数据库存储的权限名称都要加ROLE_前缀最好,避免出现错误,
// 如果数据库的权限名称不加ROLE_前缀,那么在注册权限列表的时候记得拼接ROLE_前缀
//登录配置
http.formLogin()
//登录名参数
.usernameParameter("username")
//密码参数
.passwordParameter("password")
//post登录访问路径
.loginProcessingUrl("/login");
//登录结果处理
http.formLogin()
//登录成功
.successHandler(new CustomAuthenticationSuccessHandler()) //--0
//登录失败
.failureHandler(new CustomAuthenticationFailureHandler()); //--0
//登录退出处理
http.logout()
////post登出访问路径
.logoutUrl("/logout")
//成功退出处理
.logoutSuccessHandler(new CustomLogoutSuccessHandler()) //--0
//清除认证信息
.clearAuthentication(true).permitAll();
//异常抛出处理
http.exceptionHandling().authenticationEntryPoint(new CustomAuthenticationEntryPoint()) //-- 401
//访问拒绝处理【无权】
.accessDeniedHandler(new CustomAccessDeniedHandler()); //--2
//开启cookie自动登录
http.rememberMe()
//自动登录成功处理//todo
// .authenticationSuccessHandler(new ....)
//密钥
.key("unique-and-secret")
//cookie名
.rememberMeCookieName("remember-me-cookie-name")
//生命周期,单位毫秒
.tokenValiditySeconds(24 * 60 * 60);
//session并发管理 ,原理是其缺省实现是将session记录在内存map中,因此不能用于集群环境中,服务器1中记录的信息和服务器2记录的信息并不相同;
//
// Session的并发控制,这里设为最多一个,只允许一个用户登录,如果同一个账户两次登录,那么第一个账户将被踢下线
http.sessionManagement().maximumSessions(1);
//当一个用户已经认证过了,在另外一个地方重新进行登录认证,spring security可以阻止其再次登录认证,从而保持原来的会话可用性
//存在一个问题,当用户登陆后,没有退出直接关闭浏览器,则再次打开浏览器时,此时浏览器的session若被删除的话,用户只能等到服务器的session过期后,才能再次登录。
// http.sessionManagement().maximumSessions(1).maxSessionsPreventsLogin(true);
//默认是开通session fixation防护的.因此可以不写,防护的原理为,每当用户认证过后,就会重新生成一个新的session,并抛弃旧的session
// http.sessionManagement().sessionFixation().migrateSession();
//解决不允许显示在iframe的问题
// http.headers().frameOptions().disable();
}
/**
* 添加 UserDetailsService, 实现自定义登录校验,数据库查询
*/
@Override
protected void configure(AuthenticationManagerBuilder builder) throws Exception {
//注入用户信息,每次登录都会来这查询一次信息,因此不建议每次都向mysql查询,应该使用redis
builder.userDetailsService(dbUserDetailsService)
//密码加密方式
.passwordEncoder(passwordEncoder());
}
/**
* BCryptPasswordEncoder相关知识:
* 用户表的密码通常使用MD5等不可逆算法加密后存储,为防止彩虹表破解更会先使用一个特定的字符串(如域名)加密,然后再使用一个随机的salt(盐值)加密。
* 特定字符串是程序代码中固定的,salt是每个密码单独随机,一般给用户表加一个字段单独存储,比较麻烦。
* BCrypt算法将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题。
*/
@Bean
public BCryptPasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}
//参考 博文原址
//https://www.dazhuanlan.com/2019/10/01/5d92e281abbc4/
//https://www.cnblogs.com/guos/archive/2019/10/02/11617243.html
//https://blog.csdn.net/icarusliu/article/details/78722384
//真想哭
View Code
其他的这里没必要再写一次了
不过前端文件我需要特别改一下
我i什么这样做呢?
因为:
// 当session并发上线被踢下线时,xhr会返回信息
//{"readyState":4,"responseText":"This session has been expired
// (possibly due to multiple concurrent logins being attempted
// as the same user).","status":200,"statusText":"parsererror"}
3.测试
启动工程
(1)使用两个不同的浏览器分别访问网址 ,分别设为A 和 B 好区分
账户=cen ,密码 = 11
A登录,显示登录成功
(2)A点击获取认证信息,可以获取
(3)此时,B也登录上面的账户,此时B显示登录成功,而A没变化 ,那是因为没有socket 协议,服务器无法主动向前端传数据
(4)现在B点发送信息,成功获取处理结果,不影响业务
(5)现在,A点击获取认证信息,提示 “被强制下线,已在另一台设备登录”
显然,B把A挤下线了 !!!!
测试成功,撒花!!!!