在某些項目中可能會遇到如每個賬戶同時只能有一個人登錄或幾個人同時登錄,如果同時有多人登錄:要麼不讓後者登錄;要麼踢出前者登錄(強制退出)。比如spring security就直接提供了相應的功能;Shiro的話沒有提供默認實現,不過可以很容易的在Shiro中加入這個功能。
示例代碼基於《第十六章 綜合實例》完成,通過Shiro Filter機制擴展KickoutSessionControlFilter完成。
首先來看看如何配置使用(spring-config-shiro.xml)
kickoutSessionControlFilter用於控制併發登錄人數的
- <bean id="kickoutSessionControlFilter"
- class="com.github.zhangkaitao.shiro.chapter18.web.shiro.filter.KickoutSessionControlFilter">
- <property name="cacheManager" ref="cacheManager"/>
- <property name="sessionManager" ref="sessionManager"/>
- <property name="kickoutAfter" value="false"/>
- <property name="maxSession" value="2"/>
- <property name="kickoutUrl" value="/login?kickout=1"/>
- </bean>
cacheManager:使用cacheManager獲取相應的cache來緩存用戶登錄的會話;用於保存用戶—會話之間的關係的;
sessionManager:用於根據會話ID,獲取會話進行踢出操作的;
kickoutAfter:是否踢出後來登錄的,默認是false;即後者登錄的用戶踢出前者登錄的用戶;
maxSession:同一個用戶最大的會話數,默認1;比如2的意思是同一個用戶允許最多同時兩個人登錄;
kickoutUrl:被踢出後重定向到的地址;
shiroFilter配置
- <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
- <property name="securityManager" ref="securityManager"/>
- <property name="loginUrl" value="/login"/>
- <property name="filters">
- <util:map>
- <entry key="authc" value-ref="formAuthenticationFilter"/>
- <entry key="sysUser" value-ref="sysUserFilter"/>
- <entry key="kickout" value-ref="kickoutSessionControlFilter"/>
- </util:map>
- </property>
- <property name="filterChainDefinitions">
- <value>
- /login = authc
- /logout = logout
- /authenticated = authc
- /** = kickout,user,sysUser
- </value>
- </property>
- </bean>
此處配置除了登錄等之外的地址都走kickout攔截器進行併發登錄控制。
測試
此處因爲maxSession=2,所以需要打開3個瀏覽器(需要不同的瀏覽器,如IE、Chrome、Firefox),分別訪問http://localhost:8080/chapter18/進行登錄;然後刷新第一次打開的瀏覽器,將會被強制退出,如顯示下圖:
KickoutSessionControlFilter核心代碼:
- protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
- Subject subject = getSubject(request, response);
- if(!subject.isAuthenticated() && !subject.isRemembered()) {
- //如果沒有登錄,直接進行之後的流程
- return true;
- }
- Session session = subject.getSession();
- String username = (String) subject.getPrincipal();
- Serializable sessionId = session.getId();
- //TODO 同步控制
- Deque<Serializable> deque = cache.get(username);
- if(deque == null) {
- deque = new LinkedList<Serializable>();
- cache.put(username, deque);
- }
- //如果隊列裏沒有此sessionId,且用戶沒有被踢出;放入隊列
- if(!deque.contains(sessionId) && session.getAttribute("kickout") == null) {
- deque.push(sessionId);
- }
- //如果隊列裏的sessionId數超出最大會話數,開始踢人
- while(deque.size() > maxSession) {
- Serializable kickoutSessionId = null;
- if(kickoutAfter) { //如果踢出後者
- kickoutSessionId = deque.removeFirst();
- } else { //否則踢出前者
- kickoutSessionId = deque.removeLast();
- }
- try {
- Session kickoutSession =
- sessionManager.getSession(new DefaultSessionKey(kickoutSessionId));
- if(kickoutSession != null) {
- //設置會話的kickout屬性表示踢出了
- kickoutSession.setAttribute("kickout", true);
- }
- } catch (Exception e) {//ignore exception
- }
- }
- //如果被踢出了,直接退出,重定向到踢出後的地址
- if (session.getAttribute("kickout") != null) {
- //會話被踢出了
- try {
- subject.logout();
- } catch (Exception e) { //ignore
- }
- saveRequest(request);
- WebUtils.issueRedirect(request, response, kickoutUrl);
- return false;
- }
- return true;
- }
此處使用了Cache緩存用戶名—會話id之間的關係;如果量比較大可以考慮如持久化到數據庫/其他帶持久化的Cache中;另外此處沒有併發控制的同步實現,可以考慮根據用戶名獲取鎖來控制,減少鎖的粒度。
另外可參考JavaEE項目開發腳手架,其提供了後臺踢出用戶的功能: