在Spring Security学习社群中,有位成员提出了一个颇具探讨性的问题,现与大家一同探讨。
注意关键要素:常规Session方案。此问题若非此方案下的疑点,其处理方式或许简单直接;如在JWT+Redis方案中,问题的解决较为轻而易举。面对常规Session方案——即Spring Security的默认策略时,就需深究其细节。
在Spring Security的默认设置中,登录用户的信息被保存在HttpSession中。每个不同的用户拥有其独特的HttpSession。有时,我们希望在单个HttpSession中实现另一HttpSession的失效控制,这正是该成员所困惑之处。
Spring Security提供了会话并发管理的功能。此功能可设定同一用户在不同设备上的并发登录数量。例如,若设定“javaboy”的并发登录数量为1,那么javaboy仅能在单一设备上登录,其他设备的登录尝试将遭拒绝或导致原有登录的自动下线。
该功能的实现原理主要依赖SessionRegistry进行会话管理。用户登录成功后,其信息被保存在一个特定的Map中,其键为用户对象,值为用户会话的sessionId。如需获取更多会话详情,还可通过另一个包含SessionInformation信息的Map实现。利用这两个Map的数据管理,我们可以有效控制用户的并发登录。
基于这一功能,我们亦可实现管理员踢出已登录用户的功能,这将大大简化操作流程。
当管理员需要踢出某用户时,他只需在principals集合中搜索特定用户名对应的sessionId,再在sessionIds中查找对应的SessionInformation,进而令其会话失效。
为达到此目的,我们需自行提供SessionRegistry对象。在配置SecurityFilterChain时,需传入我们自定义的sessionRegistry。
重要的是要开启会话并发管理。只有开启了此功能,前述的思路才能有效实施。那么如何开启会话并发管理呢?通过设定会话的最大并发数即可实现。若我们不希望有任何限制,可以将此并发数设为Integer的最大值。
至于其他相关细节,由于已在学习内容中提及,这里不再赘述。
至于踢出用户的实际操作流程如下:
其中,参数username即为管理员希望踢出的用户名。首先通过sessionRegistry.getAllPrincipals()获取所有登录用户信息,然后遍历列表找到目标用户名的相关信息。接着使用sessionRegistry.getAllSessions()方法获取该用户的所有会话信息。遍历这些会话并逐个调用其expireNow()方法使其失效。
如此一来,被踢出的用户将会如同在会话并发控制中被其他客户端挤下线一般地失去连接。
为了给予用户更明确的反馈,我们可以添加相应的提示信息。
至此,我们的任务已完成。