Shiro实现单一登录,并保留使用RememberMe功能。

Shiro提供的功能结构图:

Shiro详细的架构:

Shiro中的各类过滤器

Filter Name Class
anon org.apache.shiro.web.filter.authc.AnonymousFilter
authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
logout org.apache.shiro.web.filter.authc.LogoutFilter
noSessionCreation org.apache.shiro.web.filter.session.NoSessionCreationFilter
perms org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port org.apache.shiro.web.filter.authz.PortFilter
rest org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl org.apache.shiro.web.filter.authz.SslFilter
user org.apache.shiro.web.filter.authc.UserFilter

单一登录:同一个账户同一时间只能在一个地方登录。

项目Spring+SpringMVC+Mybatis,引入了Shiro作认证授权。公司要求实现一个单一登录功能,大部分人做法都是在自定义实现Realm的doGetAuthenticationInfo里面做session过滤和删除,这在没有启用Shiro的rememberMe功能是可以生效的,但是启用了rememberMe功能后,会发现session移除无效,用户仍然可以登录。

Realm中doGetAuthenticationInfo实现

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String userName = (String) token.getPrincipal();
        UserEntity user = userService.queryByLoginName(userName);
        if (user == null) {
            throw new AuthenticationException("帐号密码错误");
        }
        //错误次数控制
        checkLoginErrorTimes(userName);
        //单一登录控制
        checkSingleSingOn(user);
        SimpleAuthenticationInfo sainfo = new SimpleAuthenticationInfo(user, user.getPassWord(), ByteSource.Util.bytes(user.getSalt()), getName());
        return sainfo;
    }

单一登录控制:

    /**
     * 用户单一登录
     * @param user 用户实体
     */
    private void checkSingleSingOn(UserEntity user) {
            DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager();
            DefaultWebSessionManager sessionManager = (DefaultWebSessionManager) securityManager.getSessionManager();
            //获取当前已登录的用户session列表
            SessionDAO sessionDAO = sessionManager.getSessionDAO();
            Collection sessions = sessionDAO.getActiveSessions();
            for (Session session : sessions) {
                //清除该用户以前登录时保存的session
                if (user.getId().equals(String.valueOf(session.getAttribute("userId")))) {
                    // 清除认证缓存
                    sessionDAO.delete(session);
                }
            }
    }

RememberAuthenticationFilter实现

public class RememberAuthenticationFilter extends FormAuthenticationFilter{

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = getSubject(request, response);
        //如果 isAuthenticated 为 false 证明不是登录过的,同时 isRememberd 为true 证明是没登陆直接通过记住我功能进来的
        if(!subject.isAuthenticated() && subject.isRemembered()){
            //获取session看看是不是空的
            Session session = subject.getSession();
            // 用于处理单一登录问题,由于使用了rememberMe功能,所以导致移除session用户身份仍然短期有效,这边做登出处理
            if(session.getAttribute("userId") == null){
                subject.logout();
            }
        }
        //这个方法本来只返回 subject.isAuthenticated() 现在我们加上 subject.isRemembered() 让它同时也兼容remember这种情况
        return subject.isAuthenticated() || subject.isRemembered();
    }

}

1、没有在RememberMe中做过滤的场景

初始化时,Redis中没有任何数据。
第一次登录,创建了一个用户的Session(Chrome)
第二次登录清除了第一次登录的session,但是同时又创建了新的session(Firefox)
刷新第一次登录的页面,会发现多了两个session-id,并且页面用户凭证仍然有效,session被重建了···(这里是由于RememberMe的机制干扰,导致了单一 登录的功能无法正常控制)

2、在RememberMe加入过滤后以同样的方式进行

第一次登录,创建了一个用户的Session(Chrome)
第二次登录清除了第一次登录的session,但是同时又创建了新的session(Firefox)
刷新第一次登录的页面,redis里面的session没有新增,session没有重建,而是跳转到登录页面,成功。

你可能感兴趣的:(Shiro实现单一登录,并保留使用RememberMe功能。)