spring security2中如何进行同步session控制

如果你希望限制单个用户只能登录到你的程序一次，Spring Security 通过添加下面简单的部分支持这个功
能。首先，你需要把下面的监听器添加到你的web.xml文件里，让Spring Security 获得session 生存周期事件：

<listener> <listener-class> org.springframework.security.ui.session.HttpSessionEventPublisher </listener-class> </listener>

 

然后，在你的application context 加入如下部分：

<http auto-config="true"> ...... <concurrent-session-control max-sessions="1" /> ...... </http>

 

这将防止一个用户重复登录好几次，第二次登录会让第一次登录失效。如果第一个session中已经登录，则在第二个session中还可以继续登录，不过会使第一个session中的登录无效，显示session到期。具体信息如下：

This session has been expired(possible due to multiple concurrent logins being attempted as the same user)。

 

通常我们更想防止第二次登录，这时候我们可以使用：

<http> ...... <concurrent-session-control max-sessions="1" exception-if-maximum-exceeded="true"/> ...... </http>

 

这时候在第二个session中将不允许登录。

 

注：<concurrent-session-contuol />配置将会使remember me功能不起作用。