通过管理员 Spring Security 注销用户

【问题标题】:Log out user by admin Spring Security通过管理员 Spring Security 注销用户
【发布时间】:2017-11-05 16:29:07
【问题描述】:

我希望您能帮助我了解如何实现此功能: admin 使用 sessionRegistry.getAllPrincipals() 获取所有登录用户,然后可以注销某人。 我知道如何注销当前用户(session.invalidate()),但不知道如何强制注销其他用户。

这段代码让我所有登录的用户

public List<User> getAllLoggedInUsers() {
    List<Object> principals = sessionRegistry.getAllPrincipals();
    List<User> usersNamesList = new ArrayList<>();
    for (Object principal : principals) {
        if (principal instanceof org.springframework.security.core.userdetails.User) {
            usersNamesList.add(dao.findByLogin(((org.springframework.security.core.userdetails.User) principal).getUsername()));
        }
    }
    return usersNamesList;
}

非常感谢。

编辑1:我想要下一个:管理员选择一个用户,禁止它(更改数据库中的信息),然后如果该用户处于活动状态 - 将他注销。

【问题讨论】:

  • 我猜,最简单的解决方案是重启应用服务器。这将终止所有会话。
  • @KrishnaKuntala 我不需要)我只是想弄清楚如何实现这个功能。

标签: spring spring-mvc spring-security


【解决方案1】:

首先,你需要一个sessionRegistry,它可以获取所有会话并注册新会话:

@Bean
SessionRegistry sessionRegistry() {
    return new SessionRegistryImpl();
}

其次,您需要启用sessionRegistry 并使用ConcurrentSessionFilter 来控制无效会话。

http
 .sessionManagement() 
    .maximumSessions(-1)
    .sessionRegistry(sessionRegistry());

-1 表示没有限制,但这将自动注册ConcurrentSessionFilterRegisterSessionAuthenticationStrategy。基于上次的spring security配置,如果你使用xml或者旧版本的spring security,请找this page寻求帮助。

ConcurrentSessionFilter 将从sessionRegistry 获取会话,并在会话到期时注销。

最后一件事是在尝试通过用户获取会话并使用户的会话到期时向您的应用程序注入相同的 sessionRegistry bean。

您可以通过调用 getAllSessions(Object principal, boolean includeExpiredSessions) 方法列出用户的会话,该方法返回 SessionInformation 对象列表。您还可以通过在 SessionInformation 实例上调用 expireNow() 来使用户的会话到期。当用户返回应用程序时,他们将被阻止继续。

【讨论】:

  • 哇,这更容易了。我不知道 sessionRegistry 可以提供所有会话。所以我自己实现了。我创建了实现 HttpSessionListener 的类 SessionCounterListener,每次创建会话时,我都会将它添加到列表中。所以任何时候我都可以获得活动会话的列表。
【解决方案2】:

假设你这样尝试。

public void logoutUser(HttpServletRequest httpRequest, HttpServletResponse httpResponse) {
        Authentication auth = getAuthentication();

    for (int i = 0; i < logoutHandler.length; i++) {
        logoutHandler[i].logout(httpRequest, httpResponse, auth);
    }

        AnonymousAuthenticationToken aat = new AnonymousAuthenticationToken("your key you use",
                "anonymousUser", new GrantedAuthority[]{
                new GrantedAuthorityImpl("ROLE_ANONYMOUS")});
        ((SecurityContext)SecurityContextHolder.getContext()).setAuthentication(aat);
    }

您还可以在关注post1post2 中找到更多方法。

还可以获取当前登录的用户并设置SecurityContextHolder.getContext().setAuthentication(null)

【讨论】:

  • 是的,这就是使当前活动用户会话无效的方法。但我需要使不是当前但仍处于活动状态(登录)的用户会话无效。
  • @Paren'Vacya 确实提到他知道如何注销当前用户。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2019-01-30
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode