上一帖述及使用ConcurrentSessionFilter限制同帳號登錄多次的方法,同帳號多次登錄限制是運行系統必需的功能,所以作者對其深入測試,在上一帖中也列舉了Spring Security的ConcurrentSessionFilter和ConcurrentSessionControllerImpl類的幾個限制。做一下簡單的總結,下面假設同時使用DigestProcessingFilter和輔助類:
- 如果exceptionIfMaximumExceeded = true,即第二個發起的會話被禁止,如果一個用戶重新啟動瀏覽器,再次登錄失敗,因為前一個會話沒有超時,被當成了多次登錄。
- 如果exceptionIfMaximumExceeded = false,如果兩個人使用同一個帳號登錄,將出現交互將對方踢出去的現象,實際上并沒有禁止任何人登錄,只是每次要先將另一個人踢下去。
需求
我想使用exceptionIfMaximumExceeded = true,同時允許同一個用戶在同一臺機器上連續登錄多次,我采取了編寫定制的ConcurrentSessionController實現類的方法。
原理
ConcurrentSessionController是一個接口,有兩個需要實現的方法:checkAuthenticationAllowed()和registerSuccessfulAuthentication(),Spring Security提供了一個實現類ConcurrentSessionControllerImpl,經過分析缺省的實現類,發現方法allowableSessionsExceeded()處理多次并發會話,在SecurityRegistry中保存每個會話的信息,主要是用戶帳號對應的會話ID(sessionId)和最后發起時間,在并發發生時,從SecurityRegistry中取出關于某個用戶帳號的所有會話,如果exceptionIfMaximumExceeded = false,找到最早一個會話,將其釋放掉,騰出空間給新會話,如果exceptionIfMaximumExceeded = true,將發出一個異常。
所以,需要改進allowableSessionsExceeded(),如果exceptionIfMaximumExceeded = true讓程序判斷客戶地址,如果同一個IP,則允許登錄,將最早的會話釋放掉,如果不是同一個IP在發出異常。
在SecurityRegistry中,用戶帳號信息存在一個對象中,名字是principal,當前是一個Object對象,實際上只是存了一個字符串,所以需要擴展principal,寫一個定制的類(我的類含有兩個屬性:username和userip),里面保存客戶IP信息。allowableSessionsExceeded()只是使用SecurityRegistry,SecurityRegistry中的內容是由registerSuccessfulAuthentication()方法寫入的,所以,在該方法中需要將原來的pricipal對象替換成定制的Principal類的對象。同時checkAuthenticationAllowed()方法也要修改,因為這個方法要查詢SecurityRegistry,查詢條件替換成定制的Principal類的對象。
注意事項
定制的Principal類要實現equals()和hashCode()和toString()三個方法,在equals()方法中只要username相同就表示兩個對象相同,而在hashCode()中只需要將username的hashcode計算在內,因為SecurityRegistry是以principal為關鍵字的Map容器,這兩個方法決定了對Map的查詢。toString()方法可以根據自己的需要寫,我只是將username輸出。
測試
將定制的ConcurrentSessionController對象編制(wire)到應用系統中,經過測試,能夠達到預想目的。
存在的問題
原來想省點勁,只要繼承ConcurrentSessionControllerImpl并重載上述三個方法就行了,但是不知道為什么securityRegistery屬性一直注入不了,一氣之下,寫了一個直接實現ConcurrentSessionController接口的新類。實際上也不是從頭寫,將ConcurrentSessionControllerImpl代碼改吧該吧即可,用不了幾分鐘,這就是開源的好處。