为了账号安全,请及时绑定邮箱和手机立即绑定
首页 手记 Spring Security 强制退出指定用户

Spring Security 强制退出指定用户

标签:
Spring

webp

应用场景

最近社区总有人发文章带上小广告,严重影响社区氛围,好气!对于这种类型的用户,就该永久拉黑!

社区的安全框架使用了 spring-securityspring-session,登录状态 30 天有效,session 信息是存在 redis 中,如何优雅地处理这些不老实的用户呢?

首先,简单划分下用户的权限:

  • 管理员(ROLE_MANAGER):基本操作 + 管理操作

  • 普通用户(ROLE_USER):基本操作

  • 拉黑用户(ROLE_BLACK):不允许登录

然后,拉黑指定用户(ROLE_USER -> ROLE_BLACK),再强制该用户退出即可(删除该用户在 redis 中 session 信息)。

项目相关依赖及配置

Maven 依赖

        <!-- 安全 Security -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <!-- Redis -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>

        <!-- Spring Session Redis -->
        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-data-redis</artifactId>
        </dependency>

Spring Session 策略配置 application.yml

# 此处省略 redis 连接相关配置spring:
  session:
    store-type: redis

Spring Security 配置代码示例

@EnableWebSecuritypublic class WebSecurityConfig extends WebSecurityConfigurerAdapter {    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/user/**").authenticated()
                .antMatchers("/manager/**").hasAnyRole(RoleEnum.MANAGER.getMessage())
                .anyRequest().permitAll()
                .and().formLogin().loginPage("/login").permitAll()
                .and().logout().permitAll()
                .and().csrf().disable();
    }

}

强制退出指定给用户接口

import com.spring4all.bean.ResponseBean;import com.spring4all.service.UserService;import lombok.AllArgsConstructor;import org.springframework.session.FindByIndexNameSessionRepository;import org.springframework.session.Session;import org.springframework.session.data.redis.RedisOperationsSessionRepository;import org.springframework.web.bind.annotation.GetMapping;import org.springframework.web.bind.annotation.PathVariable;import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.RestController;import java.util.ArrayList;import java.util.List;import java.util.Map;@RestController@AllArgsConstructorpublic class UserManageApi {    private final FindByIndexNameSessionRepository<? extends Session> sessionRepository;    private final RedisOperationsSessionRepository redisOperationsSessionRepository;    private final UserService userService;    /**
     * 管理指定用户退出登录
     * @param userId 用户ID
     * @return 用户 Session 信息
     */
    @PreAuthorize("hasRole('MANAGER')")    @GetMapping("/manager/logout/{userId}")    public ResponseBean data(@PathVariable() Long userId){        // 查询 PrincipalNameIndexName(Redis 用户信息的 key),结合自身业务逻辑来实现
        String indexName = userService.getPrincipalNameIndexName(userId);        // 查询用户的 Session 信息,返回值 key 为 sessionId
        Map<String, ? extends Session> userSessions = sessionRepository.findByIndexNameAndIndexValue(FindByIndexNameSessionRepository.PRINCIPAL_NAME_INDEX_NAME, indexName);        // 移除用户的 session 信息
        List<String> sessionIds = new ArrayList<>(userSessions.keySet());        for (String session : sessionIds) {
            redisOperationsSessionRepository.deleteById(session);
        }        return ResponseBean.success(userSessions);
    }

}

说明 indexName 为  Principal.getName()  的返回值。



作者:Anoyi
链接:https://www.jianshu.com/p/7766e0b9d98f


点击查看更多内容
发表于 2019.01.18 19:38, 共 1698 人浏览

本文原创发布于慕课网 ,转载请注明出处,谢谢合作

举报
TA 点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中

慕神8447489

手记
粉丝
174
获赞与收藏
956

关注作者,订阅最新文章

相关文章推荐

阅读免费教程

  • 推荐
  • 评论
  • 收藏
  • 共同学习,写下你的评论
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
今天注册有机会得

100积分直接送

付费专栏免费学

大额优惠券免费领

立即参与 放弃机会
意见反馈 帮助中心 APP下载
官方微信

举报

0/150
提交
取消