spring security 用JPA进行安全管理中使用自定义的UserDetails时,maximumSessions()无法限制Session数

这是我自定义的UserDetails,这个user对象会保存到数据库。

//自定义的User
@Entity(name = "t_user")
public class User implements UserDetails, CredentialsContainer {
        @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    private String username;
    private String password;
    //...其他字段
}

而ConcurrentSessionControlAuthenticationStrategy#onAuthentication在执行sessionRegistry.getAllSessions方法时会到sessionRegistry的一个Map中去获取当前用户的所有session。Map.get的key是这个Principal,也就是User对象实例,之前我没有重写User的hascode和equals方法,(Map.get方法是根据hashcode获取value的,而未重写hascode,默认使用父类Object的hashcode方法,Object#hashcode相当于返回对象的内存地址),所以取出来的sessions是空集合,系统认为该用户没有在其他地方登录过。

//ConcurrentSessionControlAuthenticationStrategy#onAuthentication
public void onAuthentication(Authentication authentication, HttpServletRequest request,
      HttpServletResponse response) {
   List<SessionInformation> sessions = this.sessionRegistry.getAllSessions(authentication.getPrincipal(), false);
   int sessionCount = sessions.size();
   int allowedSessions = getMaximumSessionsForThisUser(authentication);
   if (sessionCount < allowedSessions) {
      // They haven't got too many login sessions running at present
      return;
   }
}

另外要注意,重写User的hascode和equals只需要判断username字段即可,因为用户密码和id都可能变化,但在这些变化后我们仍认为它是同一个用户。可以参考spring security自带的org.springframework.security.core.userdetails.User的这两个方法

//org.springframework.security.core.userdetails.User
public class User implements UserDetails, CredentialsContainer {
	/**
	 * Returns {@code true} if the supplied object is a {@code User} instance with the
	 * same {@code username} value.
	 * <p>
	 * In other words, the objects are equal if they have the same username, representing
	 * the same principal.
	 */
	@Override
	public boolean equals(Object obj) {
		if (obj instanceof User) {
			return this.username.equals(((User) obj).username);
		}
		return false;
	}

	/**
	 * Returns the hashcode of the {@code username}.
	 */
	@Override
	public int hashCode() {
		return this.username.hashCode();
	}

}

作者:蜀中孤鹰
个性签名:技术如逆水行舟,不进则退;若持之以恒,则水滴穿石。

             IT新手,水平有限,谬误疏漏之处,敬请谅解哦! 

posted @   蜀中孤鹰  阅读(665)  评论(0编辑  收藏  举报
编辑推荐:
· .NET 原生驾驭 AI 新基建实战系列:向量数据库的应用与畅想
· 从问题排查到源码分析:ActiveMQ消费端频繁日志刷屏的秘密
· 一次Java后端服务间歇性响应慢的问题排查记录
· dotnet 源代码生成器分析器入门
· ASP.NET Core 模型验证消息的本地化新姿势
阅读排行:
· 从零开始开发一个 MCP Server!
· ThreeJs-16智慧城市项目(重磅以及未来发展ai)
· .NET 原生驾驭 AI 新基建实战系列(一):向量数据库的应用与畅想
· Ai满嘴顺口溜,想考研?浪费我几个小时
· Browser-use 详细介绍&使用文档
点击右上角即可分享
微信分享提示
AI原生IDE