spring security3.0控制多个用户账号同时登录和管理员踢出用户(原创)

声明一下，这篇文章不是基于acegi spring security2.0写的， 我发现很多文章都是基于老版本写的， 并不适用最新版。

下面跟大家分享一下在spring security3.0里如何正宗的做法达到控制多个账号请求的经验。

步骤1

    <http auto-config="true" >

<!--session-fixation-protection="none" 防止伪造sessionid攻击. 用户登录成功后会销毁用户当前的session.创建新的session,并把用户信息复制到新session中.-->
        <session-management invalid-session-url="/common/login.jsp?invalid-session=true" >
         <concurrency-control error-if-maximum-exceeded="true" max-sessions="1" />

    </http>

下面只贴出关键部分， 为了不影响阅读。

注意： 不需要配置 SessionRegistry 等bean（ 假设你其他地方不用到的话， 如果用到需要在

<concurrency-control session-registry-ref="sessionRegistry" error-if-maximum-exceeded="true" max-sessions="1" />

加上一个属性

在做某个管理员踢出一个账号的时候， SessionRegistry 这个bean是需要用到的。 写法如下：

	@RequestMapping(value = "logout.html")
	public String logout(String sessionId, String sessionRegistryId, String name, HttpServletRequest request, ModelMap model){	
		List<Object> userList=sessionRegistry.getAllPrincipals();
		for(int i=0; i<userList.size(); i++){
			User userTemp=(User) userList.get(i);	 
			if(userTemp.getName().equals(name)){		
				List<SessionInformation> sessionInformationList = sessionRegistry.getAllSessions(userTemp, false);
				if (sessionInformationList!=null) { 
					for (int j=0; j<sessionInformationList.size(); j++) {
						sessionInformationList.get(j).expireNow();
						sessionRegistry.removeSessionInformation(sessionInformationList.get(j).getSessionId());
						String remark=userTemp.getName()+"被管理员"+SecurityHolder.getUsername()+"踢出";
						loginLogService.logoutLog(userTemp, sessionId, remark);		//记录注销日志和减少在线用户1个
						logger.info(userTemp.getId()+"	"+userTemp.getName()+"用户会话销毁，" + remark);
					}
				}
			}
		}
		return "auth/onlineUser/onlineUserList.html";
	}

有时候按文档和网上配置出来是很华丽， 可事实有时候就是没有如期运行。

我打开火狐 360浏览器， 还是等两个账号同时登录。

无奈之下把源码下下载剖析（常干的事儿， 喜欢捣腾这些东西）

判断重复的类是ConcurrentSessionControlStrategy.java下的

checkAuthenticationAllowed这个函数的

        final List<SessionInformation> sessions = sessionRegistry.getAllSessions(authentication.getPrincipal(), false);

        int sessionCount = sessions.size();

最重要的一句话是：

sessionInformationList.get(j).expireNow();
这句强制T出了用户， (设置为过期）

如果想彻底删除， 加上

sessionRegistry.removeSessionInformation(sessionInformationList.get(j).getSessionId());

即可，

这样使用getAllPrincipals 则获取不到被T出的用户了， 其实原理不是直接删除User对象， 只结束了它的sessionId，

因为这个User可能不止对应着1个sessionId

我发现， 无论我怎么配置， sessionCount老是烦人的 0。 即使我手动配置了ConcurrentSessionControlStrategy这个bean也没用（默认会自己调的）

无奈中想自己写一个自定义的计数器控制， 但细想它这东西不至于这个小问题都出这么大的漏洞吧？

现在的问题是：

如何让 int sessionCount = sessions.size(); 这句在第二个账号登陆的时候不为0。

于是我进入了sessionRegistry.getAllSessions(authentication.getPrincipal(), false); 这个函数。

也就是SessionRegistryImpl.java

public List<SessionInformation> getAllSessions(Object principal, boolean includeExpiredSessions) {
final Set<String> sessionsUsedByPrincipal = principals.get(principal);

这个函数是通过在一个HashMap里拿到key value的。

而principals的声明这样写。

private final Map<Object,Set<String>> principals = Collections.synchronizedMap(new HashMap<Object,Set<String>>());

现在的问题变为了：

如何让两个principal， 也就是User， 也就是

public UserDetails loadUserByUsername(String username)

两次登陆的时候返回的是同一个对象。

那么如何做到两次在不同浏览器登陆的时候返回的是同一个User？

答案是java的基础， equal hashcode方法重写。

在User对象里添加以下方法：

	public boolean equals(Object object) {
		if (object instanceof BaseObject) {
			if (this.id.equals(((BaseObject) object).getId()))
				return true;
		}
		return false;
	}
	
    public int hashCode(){     
        return this.id.hashCode();     
    }   

涉及这方面的基础请参考 http://blog.csdn.net/willielee/archive/2010/08/11/5804463.aspx

我就不浪费CSDN的硬盘空间了， 不过还是得贴出最后一句话：

HashMap的key判断key是否相等也是从hashcode和equals是否相等判断

从上面可以看出， 我们之前登陆的用户是存在 Map<Object,Set<String>> principals 的。

这个存储结构是， 一个User 对应多个Set集合的sessionId。

所以要判断用户是否已存在登陆的了， 当然要重写这2个方法。