那些遇到过的问题

春季限制最多会话; 限制最大用户

com*_*tta 5 java spring spring-security

我是否可以使用spring security来限制能够同时登录网站的最大用户数?

肯定的是,不是并发会话控制参数.我想要的是,例如,我想限制最大只允许1000个用户同时登录.如果超过该转发通知页面,则说明超出了最大用户数

Sha*_*eep 8

您可以使用Spring Security的并发会话控制通过访问的SessionRegistry找出当前有多少用户登录.在Spring Security 3中,ConcurrentSessionControlStrategy是负责控制是否允许用户在登录后创建一个会话.您可以扩展这个类,并根据用户数添加额外的检查:

public class MySessionAuthenticationStrategy extends ConcurrentSessionControlStrategy {
    int MAX_USERS = 1000; // Whatever
    SessionRegistry sr;

    public MySessionAuthenticationStrategy(SessionRegistry sr) {
        super(sr);
        this.sr = sr;
    }

    @Override
    public void onAuthentication(Authentication authentication, HttpServletRequest request, HttpServletResponse response) {
        if (sr.getAllPrincipals().size() > MAX_USERS) {
            throw new SessionAuthenticationException("Maximum number of users exceeded");
        }
        super.onAuthentication(authentication, request, response);
    }
}
Run Code Online (Sandbox Code Playgroud)

然后,您可以将其注入安全命名空间,如Spring Security参考手册中所述.

在Spring Security 2.0中,并发会话控制的实现略有不同,您可以自定义ConcurrentSessionController.

  • 有关getAllPrincipals的一点是,它也会从过期的会话中返回主体.我发现自己必须使用sr.getAllSessions()遍历所有会话,以检查我是否在计算过期的会话.我的max_users要小得多,过期的会话也没有足够快地清除. (5认同)

归档时间:

查看次数:

6597 次

最近记录:

7 年,7 月 前
相关归档
通过Spring进行RESTful身份验证 253
为什么更改finally块中的返回变量不会更改返回值? 145
为什么将Integer与int进行比较可以在Java中抛出NullPointerException? 77
如何使用Mockito验证未使用任何参数组合调用的模拟方法 44
我应该先学习什么,Spring还是Hibernate? 36
我似乎无法实现Spring的Lifecycle工作 13
Feign 和 Spring Security 5 - 客户端凭据 13
无法更改HTTP接受标头 - 使用不同的区域设置解析策略 8
更改密码 - Spring Security 3
HttpsCookieFilter - IllegalStateException:已经为此响应调用了getOutputStream() 2
难疑归档
如何重定向到其他网页? 7725
event.preventDefault()与return false 2891
自制安装特定版本的公式? 2072
什么是反思,为什么它有用? 2011
如何在Linux中一步更改文件夹及其所有子文件夹和文件的权限? 1711
@classmethod和@staticmethod对初学者的意义? 1532
如何在Xcode 4中"添加现有框架"? 1426
在JavaScript中停止setInterval调用 1332
从Docker容器内部,如何连接到本机的本地主机? 1176
如何配置Visual Studio代码以始终在新选项卡中打开文件? 1078