一个帐号,同时多处登陆的问题(apache security)
程序员文章站
2022-07-14 15:07:12
...
找到的相关资料
急答:一个帐号,同时多处登陆的问题(apache security)
http://www.blogjava.net/beyondwcm/archive/2009/05/08/269545.html
定制的Spring Security(Acegi)的并发会话过滤器(ConcurrentSessionFilter)的编码过程
springsecurity扩展自定义会话管理(一)控制用户重复登陆
springsecurity有控制单账号只能在一个地方登陆的功能,后登陆用户将踢掉前登陆用户;或者限制账号重复登陆,一个账号没有退出,另外一个人想用这个账号就登陆不上
主要涉及的类如下(我自己的山寨理解):
HttpSessionEventPublisher 监听session创建和销毁
ConcurrentSessionFilter 每次有http请求时校验,看你当前的session是否是过期的
SessionRegistryImpl 存放session中的信息,并做处理
ConcurrentSessionControllerImpl 用户登入登出的控制
SessionInformation 存储session中信息的model
先实现springsecurity文档上的,限制用户重复登陆,后登陆用户将前登陆用户冲掉 ,只需要在xml中配置如下:
<authentication-manager alias="authenticationManager"
session-controller-ref="currentController" />
<beans:bean id="concurrentSessionFilter" class="org.springframework.security.concurrent.ConcurrentSessionFilter">
<custom-filter position="CONCURRENT_SESSION_FILTER" />
<beans:property name="sessionRegistry" ref="sessionRegistry" />
<!-- 踢出的用户转向的页面-->
<beans:property name="expiredUrl" value="/user/user.action" />
<beans:property name="logoutHandlers">
<beans:list>
<beans:bean class="org.springframework.security.ui.logout.SecurityContextLogoutHandler" />
<beans:bean
class="org.springframework.security.ui.rememberme.TokenBasedRememberMeServices">
<beans:property name="key" value="e37f4b31-0c45-11dd-bd0b-0800200c9a66"/>
<beans:property name="userDetailsService" ref="userDetailsService"/>
</beans:bean>
</beans:list>
</beans:property>
</beans:bean>
<beans:bean id="sessionRegistry" class="org.springframework.security.concurrent.SessionRegistryImpl" />
<beans:bean id="currentController"
class="org.springframework.security.concurrent.ConcurrentSessionControllerImpl">
<beans:property name="sessionRegistry" ref="sessionRegistry" />
<!-- true限制不允许第二个用户登录,false第二个登陆用户踢掉前一个登陆用户 -->
<beans:property name="exceptionIfMaximumExceeded" value="false" />
<!-- 等第二种情况是,允许同时多少个用户同时登陆 -->
<beans:property name="maximumSessions" value="2"/>
</beans:bean>
其中web.xml还需要添加:
<!-- 登入和登出时对SessionRegistryImpl进行处理 -->
<listener>
<listener-class>org.springframework.security.ui.session.HttpSessionEventPublisher</listener-class>
</listener>
随着业务的发展,公司部署的网站越来越多,有必要整合多个网站,采用统一的用户验证。目前想到的解决方案,主要有以下几种.
1.sso解决方案,部署独立的用户验证系统,利用cookie的保存登录ticket的基本思路,网上有很多种解决方案,有的过于复杂,需要配置很多东西,有的过于局限,只支持单一的语言。不知道各位有哪些比较好的解决方案,适合项目不是太多,配置不是太烦,支持多中语言,例如java和php等。
2.开放api,oauth验证方式,不仅适合对内项目,而且可以对外验证。感觉好像很好的,而且我们iteye论坛也有ROP等实现方式,自我感觉这种方式比较很不错.
3.统一的验证窗口,所有的登录都提交到统一的登录窗口,由其负责处理。实现最简单,不过,需要同一级域名。
不知,各位大牛们有什么比较好的意见?
个人感觉第一种比较不错,你可以采用单点登录在做到这点,一台服务器只作为验证服务器,随着项目的增多,每个项目的验证都可以使用这台验证服务器做单点登录,这也需要一个相同的登录界面,和第三种方案比较类似,不过需要注意的是,单点登录是可以跨域的(跨根域)
对于你的第三种方案,只要js比较牛的话,应该也是可以的,淘宝的不就是这样做的吗 ?
sso一般有两种实现,基于agent和proxy。
CAS是基于agent的
XMPP 简单研究
急答:一个帐号,同时多处登陆的问题(apache security)
http://www.blogjava.net/beyondwcm/archive/2009/05/08/269545.html
定制的Spring Security(Acegi)的并发会话过滤器(ConcurrentSessionFilter)的编码过程
springsecurity扩展自定义会话管理(一)控制用户重复登陆
springsecurity有控制单账号只能在一个地方登陆的功能,后登陆用户将踢掉前登陆用户;或者限制账号重复登陆,一个账号没有退出,另外一个人想用这个账号就登陆不上
主要涉及的类如下(我自己的山寨理解):
HttpSessionEventPublisher 监听session创建和销毁
ConcurrentSessionFilter 每次有http请求时校验,看你当前的session是否是过期的
SessionRegistryImpl 存放session中的信息,并做处理
ConcurrentSessionControllerImpl 用户登入登出的控制
SessionInformation 存储session中信息的model
先实现springsecurity文档上的,限制用户重复登陆,后登陆用户将前登陆用户冲掉 ,只需要在xml中配置如下:
<authentication-manager alias="authenticationManager"
session-controller-ref="currentController" />
<beans:bean id="concurrentSessionFilter" class="org.springframework.security.concurrent.ConcurrentSessionFilter">
<custom-filter position="CONCURRENT_SESSION_FILTER" />
<beans:property name="sessionRegistry" ref="sessionRegistry" />
<!-- 踢出的用户转向的页面-->
<beans:property name="expiredUrl" value="/user/user.action" />
<beans:property name="logoutHandlers">
<beans:list>
<beans:bean class="org.springframework.security.ui.logout.SecurityContextLogoutHandler" />
<beans:bean
class="org.springframework.security.ui.rememberme.TokenBasedRememberMeServices">
<beans:property name="key" value="e37f4b31-0c45-11dd-bd0b-0800200c9a66"/>
<beans:property name="userDetailsService" ref="userDetailsService"/>
</beans:bean>
</beans:list>
</beans:property>
</beans:bean>
<beans:bean id="sessionRegistry" class="org.springframework.security.concurrent.SessionRegistryImpl" />
<beans:bean id="currentController"
class="org.springframework.security.concurrent.ConcurrentSessionControllerImpl">
<beans:property name="sessionRegistry" ref="sessionRegistry" />
<!-- true限制不允许第二个用户登录,false第二个登陆用户踢掉前一个登陆用户 -->
<beans:property name="exceptionIfMaximumExceeded" value="false" />
<!-- 等第二种情况是,允许同时多少个用户同时登陆 -->
<beans:property name="maximumSessions" value="2"/>
</beans:bean>
其中web.xml还需要添加:
<!-- 登入和登出时对SessionRegistryImpl进行处理 -->
<listener>
<listener-class>org.springframework.security.ui.session.HttpSessionEventPublisher</listener-class>
</listener>
随着业务的发展,公司部署的网站越来越多,有必要整合多个网站,采用统一的用户验证。目前想到的解决方案,主要有以下几种.
1.sso解决方案,部署独立的用户验证系统,利用cookie的保存登录ticket的基本思路,网上有很多种解决方案,有的过于复杂,需要配置很多东西,有的过于局限,只支持单一的语言。不知道各位有哪些比较好的解决方案,适合项目不是太多,配置不是太烦,支持多中语言,例如java和php等。
2.开放api,oauth验证方式,不仅适合对内项目,而且可以对外验证。感觉好像很好的,而且我们iteye论坛也有ROP等实现方式,自我感觉这种方式比较很不错.
3.统一的验证窗口,所有的登录都提交到统一的登录窗口,由其负责处理。实现最简单,不过,需要同一级域名。
不知,各位大牛们有什么比较好的意见?
个人感觉第一种比较不错,你可以采用单点登录在做到这点,一台服务器只作为验证服务器,随着项目的增多,每个项目的验证都可以使用这台验证服务器做单点登录,这也需要一个相同的登录界面,和第三种方案比较类似,不过需要注意的是,单点登录是可以跨域的(跨根域)
对于你的第三种方案,只要js比较牛的话,应该也是可以的,淘宝的不就是这样做的吗 ?
sso一般有两种实现,基于agent和proxy。
CAS是基于agent的
XMPP 简单研究
上一篇: Robert C. Martin对RoR的高度评价令我吃惊
下一篇: java web 登陆解决方法