SpringBoot2.0通過Session實現用戶後臺唯一登錄

原創 Shiner_ 2020-05-13 02:42

場景

由於在原有的系統開發前期只注重功能,而沒有考慮系統後期的架構,一個賬戶可以在多臺設備上登錄,且使用的用戶對此毫無感知,一旦發生風險後果可想而知.現在在不改動系統原有的架構情況下,實現用戶在一臺設備登錄後,在別的設備登錄時,會把上一個用戶擠掉,並且在一定時間沒有操作之後,再次操作時需要重新登錄
現有的架構中,我們使用了SpringSession+redis,自定義一個攔截器,監聽相關請求即可實現.
用戶登錄成功後,我們將用戶ID生成對應的一個token保存到緩存中,永久token則直接保存到數據庫即可,退出登錄時清除該用戶的token形成一個閉環操作

攔截器的實現方法

package com.zoomshare.controller.interceptor;


import java.io.IOException;
import java.net.URLEncoder;
import java.util.concurrent.TimeUnit;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import com.github.pagehelper.util.StringUtil;
import com.zoomshare.baseframework.core.Constans;
import com.zoomshare.baseframework.util.BaseService;
import com.zoomshare.service.sys.ISysconfigService;

/**
 * 後臺Session攔截器
 * PS:免費POS機辦理VX:18670040141
 * @author ShinerZhou
 * @Create 2020-03-31
 */

public class WebSessionInterceptor extends BaseService implements HandlerInterceptor{

	private static final org.slf4j.Logger Logger = org.slf4j.LoggerFactory.getLogger(WebSessionInterceptor.class);
	
	@Autowired
	private StringRedisTemplate redisTemplate;
	
	@Autowired
	private ISysconfigService sysconfigService;
	
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception
    {
        //無論訪問的地址是不是正確的,都進行登錄驗證,登錄成功後的訪問再進行分發,404的訪問自然會進入到錯誤控制器中
        HttpSession session = request.getSession();
        String message = null;
        if (session != null && session.getAttribute(Constans.USER_SESSION_ID) != null) {
            try{
                //驗證當前請求的session是否是已登錄的session
                String loginSessionId = redisTemplate.opsForValue().get(Constans.AUTO_USER_TOKEN + session.getAttribute(Constans.USER_SESSION_ID));
                
                if (loginSessionId != null && loginSessionId.equals(session.getId())) {
                	String redisTimeOut = sysconfigService.getSysconfig(Constans.TOKEN_TIME_OUT);
                    if (StringUtil.isEmpty(redisTimeOut)) {
                    	redisTimeOut = "30";
            		}
                    Long timeOut = Long.parseLong(redisTimeOut) * 60;
                	redisTemplate.opsForValue().set(Constans.AUTO_USER_TOKEN + session.getAttribute(Constans.USER_SESSION_ID), loginSessionId, timeOut, TimeUnit.SECONDS);
                	return true;
                }
                if(loginSessionId != null && !loginSessionId.equals(session.getId())) {
                	message = "當前賬號已在別處被登錄";
                }
                if(session == null || StringUtils.isEmpty(loginSessionId)) {
                	message = "賬號異常,請重新登錄";
                }
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
        Logger.info("攔截到非法Session:"+session.getId());
        response401(response, message);
        return false;
    }
 
    private void response401(HttpServletResponse response, String message) {
        try {
        	String errorMessage = URLEncoder.encode(message, "UTF-8");
            response.sendRedirect("/login.jsp?errorMessage="+errorMessage);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
 
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception
    {
 
    }
 
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception
    {
 
    }

}

在請求執行之前,該攔截器會獲取request請求中Headers中的用戶ID和token,拿到token後和數據庫中的token比較,一樣則放行請求,否則重定向到請求頁面重新登錄
**

preHandle方法,在請求發生前執行(攔截請求,校驗數據)。 postHandle方法,在請求完成後執行(處理業務邏輯後更新相關數據)。 afterCompletion方法將在整個請求完成之後,也就是DispatcherServlet渲染了視圖執行(請求執行成功後清理相關資源)。

**
如果其中有一個返回false則整個請求就結束,根據不同的業務場景重寫對應的方法即可,但是這裏的攔截器是針對所有的請求,我們實際中可能有些接口不需要攔截
對應如下方式過濾不需要攔截的接口

package com.zoomshare.controller.interceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class WebSecurityConfig implements WebMvcConfigurer {
    @Bean
    public WebSessionInterceptor getWebSessionInterceptor(){
        return new WebSessionInterceptor();
    }
    @Override
    public void addInterceptors(InterceptorRegistry registry)
    {
        //所有已api開頭的訪問都要進入RedisSessionInterceptor攔截器進行登錄驗證,並排除login接口(全路徑)。必須寫成鏈式,分別設置的話會創建多個攔截器。
        //必須寫成getSessionInterceptor(),否則SessionInterceptor中的@Autowired會無效
        registry.addInterceptor(getWebSessionInterceptor()).addPathPatterns("/**").excludePathPatterns("/system/login")
        .excludePathPatterns("/storeCost/getStoreCost")
        .excludePathPatterns("/api/callBack/sendResult")
        .excludePathPatterns("/api/**").excludePathPatterns("/static/**");  
    }	
}

實現原理:用戶登錄時,會生成改用戶對應的唯一有效token,之後的每次請求都會被攔截器攔截,拿到請求token後和數據庫token比較,一樣則會放行.如果用戶在操作過程中,另一個用戶使用該賬號登錄,token則會發生改變,之前的用戶再請求時就會跳轉到登錄頁面重新登錄,總之系統中的賬號就只允許在一個終端上登錄

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Spring AI 搶先體驗,5 分鐘玩轉 Java AI 應用開發

作者:劉軍 Spring AI 是 Spring 官方社區項目,旨在簡化 Java AI 應用程序開發,讓 Java 開發者像使用 Spring 開發普通應用一樣開發 AI 應用。 Spring Cloud Alibaba AI 以 Spr

原創 2024-04-29 21:12:12

三十分鐘入門基礎Go(Java小子版)

前言 Go語言定義 Go(又稱 Golang)是 Google 的 Robert Griesemer,Rob Pike 及 Ken Thompson 開發的一種靜態、強類型、編譯型語言。Go 語言語法與 C 相近,但功能上有:內存安

原創 2024-04-25 23:17:43

Apache DolphinScheduler支持Flink嗎?

隨着大數據技術的快速發展,很多企業開始將Flink引入到生產環境中,以滿足日益複雜的數據處理需求。而作爲一款企業級的數據調度平臺,Apache DolphinScheduler也跟上了時代步伐,推出了對Flink任務類型的支持。 Flink

原創 2024-04-30 11:49:27

1 名工程師輕鬆管理 20 個工作流,創業企業用 Serverless 讓數據處理流程提效

作者:嶽洋、陳德全、劉靜娜 北京語勢科技有限公司成立於 2023 年 6 月,語勢科技定位爲“智能投資時代的主題入口”,在資管行業從以機構爲核心轉向以用戶爲核心的變革時代,通過打造主題投資引擎,賦能普惠投資一體化,打造以投資者和資管機構爲主

原創 2024-04-28 21:12:22

哈哈哈哈或

在Java編程中,簡潔高效的實現往往涉及幾個關鍵原則和技能。例如,使用簡單的代碼結構來提高代碼訪問性和可維護性,這意味着代碼應該追求清晰、簡潔且模式匿名,因爲過度模式匿名會導致複雜度增長,影響代碼的維護性和效率。 其中,簡潔高效還包攜

原創 2024-04-28 00:40:41

Java編程工具:簡潔高效實現

Java編程工具:簡潔高效實現Java編程工具:簡潔高效實現Java編程工具:簡潔高效實現

原創 2024-04-27 00:41:09

Java word通過html設置樣式(Spire Docx)

  Java  word通過html設置樣式(Spire Docx) <dependencies>   <!-- Apache POI dependency for Word --> <dependency>

原創 2024-04-26 23:42:09

從零開始學架構V2-初識架構設計-1

一、架構設計的主要目的 爲了解決軟件系統複雜度帶來的問題 二、複雜性來源 軟件的架構設計是一個非常複雜的過程;基於業務&技術現狀、公司成本、團隊規模、團隊技術能力、近三年業務發展規模預測、技術發展趨勢等條件篩選出合適的技術、編寫多種架構設計

原創 2024-04-25 23:56:25

高德地圖爬蟲實踐:Java多線程併發處理策略

背景介紹 高德地圖是一款基於互聯網和移動互聯網的地圖與導航應用,提供了包括地圖瀏覽、公交查詢、駕車導航、步行導航等在內的多種功能。其龐大的用戶羣體和豐富的地圖數據成爲了各行各業進行位置服務、地理信息分析等應用的首選。 爬蟲實踐需求 在

原創 2024-04-25 23:26:44

流水線運行出錯排查難?AI 來幫你

“我的企業有幾千條流水線,每次流水線運行出錯,都要投入不少的技術人員進去排查,需要花費不少的時間。” 遇到這種情況,怎麼解決。在 AI 爆火的今天,AI 如何助力 DevOps 效率提升? 雲效與阿里雲通義大模型合作,推出了流水線智能排查能

原創 2024-04-24 21:12:07

西安站開營!AI 編碼助手通義靈碼幫大學生“整活兒”

如何更好地與 AI 爲伴,做時代的先進開發者?4 月 17 日,阿里雲推出的 AI 編程助手通義靈碼與雲工開物“高校訓練營”走進西安多所高校開啓實操培訓,結合 AI 輔助編程的發展背景、通義靈碼的具體能力和應用實操,幫助在校大學生了解人工智

原創 2024-04-24 21:12:06

從原始邊列表到鄰接矩陣Python實現圖數據處理的完整指南

本文分享自華爲雲社區《從原始邊列表到鄰接矩陣Python實現圖數據處理的完整指南》,作者: 檸檬味擁抱。 在圖論和網絡分析中,圖是一種非常重要的數據結構,它由節點(或頂點)和連接這些節點的邊組成。在Python中,我們可以使用鄰接矩陣來表示

原創 2024-04-30 10:34:05

使用 @NoRepositoryBean 簡化數據庫訪問

在 Spring Data JPA 應用程序中管理跨多個存儲庫接口的數據庫訪問邏輯可能會變得乏味且容易出錯。開發人員經常發現自己爲常見查詢和方法重複代碼,從而導致維護挑戰和代碼冗餘。幸運的是,Spring Data JPA 爲這個問題提供了

原創 2024-04-27 21:36:42

從NoSQL到NewSQL——10年代大數據浪潮下的技術革新

引言     在數字化浪潮的推動下,數據庫技術已成爲支撐數字經濟的堅實基石。騰訊雲 TVP《技術指針》聯合《明說三人行》特別策劃的直播系列——【中國數據庫前世今生】,我們將通過五期直播,帶您穿越五個十年,深入探討每個時代的數據庫演變

原創 2024-04-28 23:12:26

DataGear 企業版 1.1.0 發佈,數據可視化分析平臺

DataGear 企業版 1.1.0 正式發佈,歡迎大家瞭解試用! http://datagear.tech/pro/ 企業版 1.1.0 新增了MQTT、WebSocket實時數據集功能,新增了Redis、MongoDB數據集功能,具體更

原創 2024-04-24 21:42:05