SpringBoot2.0通过Session实现用户后台唯一登录

场景

由于在原有的系统开发前期只注重功能,而没有考虑系统后期的架构,一个账户可以在多台设备上登录,且使用的用户对此毫无感知,一旦发生风险后果可想而知.现在在不改动系统原有的架构情况下,实现用户在一台设备登录后,在别的设备登录时,会把上一个用户挤掉,并且在一定时间没有操作之后,再次操作时需要重新登录
现有的架构中,我们使用了SpringSession+redis,自定义一个拦截器,监听相关请求即可实现.
用户登录成功后,我们将用户ID生成对应的一个token保存到缓存中,永久token则直接保存到数据库即可,退出登录时清除该用户的token形成一个闭环操作

拦截器的实现方法

package com.zoomshare.controller.interceptor;


import java.io.IOException;
import java.net.URLEncoder;
import java.util.concurrent.TimeUnit;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import com.github.pagehelper.util.StringUtil;
import com.zoomshare.baseframework.core.Constans;
import com.zoomshare.baseframework.util.BaseService;
import com.zoomshare.service.sys.ISysconfigService;

/**
 * 后台Session拦截器
 * PS:免费POS机办理VX:18670040141
 * @author ShinerZhou
 * @Create 2020-03-31
 */

public class WebSessionInterceptor extends BaseService implements HandlerInterceptor{

	private static final org.slf4j.Logger Logger = org.slf4j.LoggerFactory.getLogger(WebSessionInterceptor.class);
	
	@Autowired
	private StringRedisTemplate redisTemplate;
	
	@Autowired
	private ISysconfigService sysconfigService;
	
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception
    {
        //无论访问的地址是不是正确的，都进行登录验证，登录成功后的访问再进行分发，404的访问自然会进入到错误控制器中
        HttpSession session = request.getSession();
        String message = null;
        if (session != null && session.getAttribute(Constans.USER_SESSION_ID) != null) {
            try{
                //验证当前请求的session是否是已登录的session
                String loginSessionId = redisTemplate.opsForValue().get(Constans.AUTO_USER_TOKEN + session.getAttribute(Constans.USER_SESSION_ID));
                
                if (loginSessionId != null && loginSessionId.equals(session.getId())) {
                	String redisTimeOut = sysconfigService.getSysconfig(Constans.TOKEN_TIME_OUT);
                    if (StringUtil.isEmpty(redisTimeOut)) {
                    	redisTimeOut = "30";
            		}
                    Long timeOut = Long.parseLong(redisTimeOut) * 60;
                	redisTemplate.opsForValue().set(Constans.AUTO_USER_TOKEN + session.getAttribute(Constans.USER_SESSION_ID), loginSessionId, timeOut, TimeUnit.SECONDS);
                	return true;
                }
                if(loginSessionId != null && !loginSessionId.equals(session.getId())) {
                	message = "当前账号已在别处被登录";
                }
                if(session == null || StringUtils.isEmpty(loginSessionId)) {
                	message = "账号异常,请重新登录";
                }
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
        Logger.info("拦截到非法Session:"+session.getId());
        response401(response, message);
        return false;
    }
 
    private void response401(HttpServletResponse response, String message) {
        try {
        	String errorMessage = URLEncoder.encode(message, "UTF-8");
            response.sendRedirect("/login.jsp?errorMessage="+errorMessage);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
 
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception
    {
 
    }
 
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception
    {
 
    }

}

在请求执行之前,该拦截器会获取request请求中Headers中的用户ID和token,拿到token后和数据库中的token比较,一样则放行请求,否则重定向到请求页面重新登录
**

preHandle方法，在请求发生前执行(拦截请求,校验数据)。 postHandle方法，在请求完成后执行(处理业务逻辑后更新相关数据)。 afterCompletion方法将在整个请求完成之后，也就是DispatcherServlet渲染了视图执行(请求执行成功后清理相关资源)。

**
如果其中有一个返回false则整个请求就结束,根据不同的业务场景重写对应的方法即可,但是这里的拦截器是针对所有的请求,我们实际中可能有些接口不需要拦截
对应如下方式过滤不需要拦截的接口

package com.zoomshare.controller.interceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class WebSecurityConfig implements WebMvcConfigurer {
    @Bean
    public WebSessionInterceptor getWebSessionInterceptor(){
        return new WebSessionInterceptor();
    }
    @Override
    public void addInterceptors(InterceptorRegistry registry)
    {
        //所有已api开头的访问都要进入RedisSessionInterceptor拦截器进行登录验证，并排除login接口(全路径)。必须写成链式，分别设置的话会创建多个拦截器。
        //必须写成getSessionInterceptor()，否则SessionInterceptor中的@Autowired会无效
        registry.addInterceptor(getWebSessionInterceptor()).addPathPatterns("/**").excludePathPatterns("/system/login")
        .excludePathPatterns("/storeCost/getStoreCost")
        .excludePathPatterns("/api/callBack/sendResult")
        .excludePathPatterns("/api/**").excludePathPatterns("/static/**");  
    }	
}

实现原理:用户登录时,会生成改用户对应的唯一有效token,之后的每次请求都会被拦截器拦截,拿到请求token后和数据库token比较,一样则会放行.如果用户在操作过程中,另一个用户使用该账号登录,token则会发生改变,之前的用户再请求时就会跳转到登录页面重新登录,总之系统中的账号就只允许在一个终端上登录