Shiro实现单一登录，并保留使用RememberMe功能。

Shiro提供的功能结构图：

Shiro详细的架构：

Shiro中的各类过滤器

Filter Name	Class
anon	org.apache.shiro.web.filter.authc.AnonymousFilter
authc	org.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasic	org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
logout	org.apache.shiro.web.filter.authc.LogoutFilter
noSessionCreation	org.apache.shiro.web.filter.session.NoSessionCreationFilter
perms	org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
port	org.apache.shiro.web.filter.authz.PortFilter
rest	org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
roles	org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
ssl	org.apache.shiro.web.filter.authz.SslFilter
user	org.apache.shiro.web.filter.authc.UserFilter

单一登录：同一个账户同一时间只能在一个地方登录。

项目Spring+SpringMVC+Mybatis，引入了Shiro作认证授权。公司要求实现一个单一登录功能，大部分人做法都是在自定义实现Realm的doGetAuthenticationInfo里面做session过滤和删除，这在没有启用Shiro的rememberMe功能是可以生效的，但是启用了rememberMe功能后，会发现session移除无效，用户仍然可以登录。

Realm中doGetAuthenticationInfo实现

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String userName = (String) token.getPrincipal();
        UserEntity user = userService.queryByLoginName(userName);
        if (user == null) {
            throw new AuthenticationException("帐号密码错误");
        }
        //错误次数控制
        checkLoginErrorTimes(userName);
        //单一登录控制
        checkSingleSingOn(user);
        SimpleAuthenticationInfo sainfo = new SimpleAuthenticationInfo(user, user.getPassWord(), ByteSource.Util.bytes(user.getSalt()), getName());
        return sainfo;
    }

单一登录控制：

    /**
     * 用户单一登录
     * @param user 用户实体
     */
    private void checkSingleSingOn(UserEntity user) {
            DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager();
            DefaultWebSessionManager sessionManager = (DefaultWebSessionManager) securityManager.getSessionManager();
            //获取当前已登录的用户session列表
            SessionDAO sessionDAO = sessionManager.getSessionDAO();
            Collection sessions = sessionDAO.getActiveSessions();
            for (Session session : sessions) {
                //清除该用户以前登录时保存的session
                if (user.getId().equals(String.valueOf(session.getAttribute("userId")))) {
                    // 清除认证缓存
                    sessionDAO.delete(session);
                }
            }
    }

RememberAuthenticationFilter实现

public class RememberAuthenticationFilter extends FormAuthenticationFilter{

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = getSubject(request, response);
        //如果 isAuthenticated 为 false 证明不是登录过的，同时 isRememberd 为true 证明是没登陆直接通过记住我功能进来的
        if(!subject.isAuthenticated() && subject.isRemembered()){
            //获取session看看是不是空的
            Session session = subject.getSession();
            // 用于处理单一登录问题，由于使用了rememberMe功能，所以导致移除session用户身份仍然短期有效，这边做登出处理
            if(session.getAttribute("userId") == null){
                subject.logout();
            }
        }
        //这个方法本来只返回 subject.isAuthenticated() 现在我们加上 subject.isRemembered() 让它同时也兼容remember这种情况
        return subject.isAuthenticated() || subject.isRemembered();
    }

}

1、没有在RememberMe中做过滤的场景

初始化时，Redis中没有任何数据。

第一次登录，创建了一个用户的Session（Chrome）

第二次登录清除了第一次登录的session，但是同时又创建了新的session（Firefox）

刷新第一次登录的页面，会发现多了两个session-id，并且页面用户凭证仍然有效，session被重建了···（这里是由于RememberMe的机制干扰，导致了单一 登录的功能无法正常控制）

2、在RememberMe加入过滤后以同样的方式进行

第一次登录，创建了一个用户的Session（Chrome）

第二次登录清除了第一次登录的session，但是同时又创建了新的session（Firefox）

刷新第一次登录的页面，redis里面的session没有新增，session没有重建，而是跳转到登录页面，成功。