记录 Spring Security 之 ConcurrentSessionControlAuthenticationStrategy 的一个小问题
记录 pmsys 中使用 ConcurrentSessionControlAuthenticationStrategy
作为 session
的并发控制策略,实现用户单一登录,挤掉前一个登录的用户。当出现了一些小问题,所以以此记录。
问题
使用了 ConcurrentSessionControlAuthenticationStrategy
是实现了单一登录, 但没完全实现。因为后一个登录的用户也被挤掉, 即这个账号所有用户都被下线。
原因
ConcurrentSessionControlAuthenticationStrategy
源码中 onAuthentication
方法.
官方 方法说明: In addition to the steps from the superclass, the sessionRegistry will be updated with the new session information.
机翻: 除了超类中的步骤之外,还将使用新的会话信息更新sessionRegistry。
public void onAuthentication(Authentication authentication, HttpServletRequest request, HttpServletResponse response) {
List<SessionInformation> sessions = this.sessionRegistry.getAllSessions(authentication.getPrincipal(), false);
// 全部的 session 数量
int sessionCount = sessions.size();
// 这里得到可允许的 session 并发数量
int allowedSessions = this.getMaximumSessionsForThisUser(authentication);
if (sessionCount >= allowedSessions) {
if (allowedSessions != -1) {
if (sessionCount == allowedSessions) {
HttpSession session = request.getSession(false);
if (session != null) {
Iterator var8 = sessions.iterator();
while(var8.hasNext()) {
SessionInformation si = (SessionInformation)var8.next();
if (si.getSessionId().equals(session.getId())) {
return;
}
}
}
}
// 超出允许的并发数量,就会调用此方法, 原因
this.allowableSessionsExceeded(sessions, allowedSessions, this.sessionRegistry);
}
}
}
allowableSessionsExceeded
方法源码:
protected void allowableSessionsExceeded(List<SessionInformation> sessions, int allowableSessions, SessionRegistry registry) throws SessionAuthenticationException {
if (!this.exceptionIfMaximumExceeded && sessions != null) {
sessions.sort(Comparator.comparing(SessionInformation::getLastRequest));
// 以下两行代码就是主要原因
int maximumSessionsExceededBy = sessions.size() - allowableSessions + 1;
List<SessionInformation> sessionsToBeExpired = sessions.subList(0, maximumSessionsExceededBy);
Iterator var6 = sessionsToBeExpired.iterator();
while(var6.hasNext()) {
SessionInformation session = (SessionInformation)var6.next();
// 使当前 session 失效
session.expireNow();
}
} else {
throw new SessionAuthenticationException(this.messages.getMessage("ConcurrentSessionControlAuthenticationStrategy.exceededAllowed", new Object[]{allowableSessions}, "Maximum sessions of {0} for this principal exceeded"));
}
}
为了实现用户单一登录, 那么最大并发数量肯定是 1 (默认也是 1 ), maximumSessionsExceededBy
= 2 - 1 + 1 = 2 . 那么 sessionsToBeExpired
就是把两个 session
都包含其中,然后都令其失效. 从而导致两个用户都下线.
这里提一下 subList 方法
List<E> subList(int fromIndex, int toIndex);
这个方法是左开右闭的, 即
tiIndex
这个位置是没有选到的, 例如: sublist(0,2) , 得到只有集合中下标为 0 , 1 的元素.还有一些情况,就自行百度.
个人解决方案
继承 ConcurrentSessionControlAuthenticationStrategy
重写 allowableSessionsExceeded
方法. 用自己的 session
并发控制策略
@Component
public class MyConcurrentSessionControlAuthenticationStrategy extends ConcurrentSessionControlAuthenticationStrategy {
protected MessageSourceAccessor messages = SpringSecurityMessageSource.getAccessor();
public MyConcurrentSessionControlAuthenticationStrategy(SessionRegistry sessionRegistry) {
super(sessionRegistry);
}
@Override
protected void allowableSessionsExceeded(List<SessionInformation> sessions, int allowableSessions, SessionRegistry registry) throws SessionAuthenticationException {
if (sessions != null) {
sessions.sort(Comparator.comparing(SessionInformation::getLastRequest));
int maximumSessionsExceededBy = sessions.size() - allowableSessions;
List<SessionInformation> sessionsToBeExpired = sessions.subList(0, maximumSessionsExceededBy);
Iterator var6 = sessionsToBeExpired.iterator();
while(var6.hasNext()) {
SessionInformation session = (SessionInformation)var6.next();
session.expireNow();
}
} else {
throw new SessionAuthenticationException(this.messages.getMessage("ConcurrentSessionControlAuthenticationStrategy.exceededAllowed", new Object[]{allowableSessions}, "Maximum sessions of {0} for this principal exceeded"));
}
}
}
实验结果可行.
GitHub 也有人提出这个问题,但问题待解决. ConcurrentSessionControlAuthenticationStrategy.allowableSessionsExceeded set the latest session to invalid, is this a bug? #9343