Ungültig spring security session

muss ich invalidate ( oder kick ) user-session. die Anwendung nur limit-user-login nur einen Benutzer pro container.

ich versuche zu nennen, removeSessionInformation von session-Registrierung, fertig zum freischalten der user. also der andere Benutzer kann sich mit dem gekickt session user name.

aber SessionContextHolder an, dass Benutzer, die schon gekickt ist noch. so haben Sie immer noch die gleiche Autorität zum Zugriff auf die geschützte Seite.

wie ungültig zu machen oder zu entfernen AUFTRAGGEBER SessionContextHolder aus der angegebenen session-Registrierung, Informationen?

ps : in meiner alten Bewerbung, ich gebe eine variable UserDomain (UserDetails), die halten HttpSession. und wenn Sie benötigen, um kick the user, habe ich nur entkräften HttpSession aus den angegebenen UserDomain. aber ich weiß nicht, wie es im Frühjahr (sein wahrscheinlicher zu entfernen AUFTRAGGEBER SessionContextHolder als HttpSession). die Umsetzung ist fast das gleiche wie SessionRegistryImpl tun im Frühjahr.

InformationsquelleAutor Jeg Bagus | 2011-01-06
  1. 11

    Möchten Sie vielleicht erwägen Spring Security-Concurrency Control. Dies konfigurieren Sie zum beschränken der Anzahl der gleichzeitigen sessions pro Benutzer und verfallen (kick) bestehende Sitzungen, wenn diese Zahl überschritten wird.

    Spring Security Session Management

    Dies ist ein Ausschnitt unserer Konfiguration (Feder 3):

    <http>
    ...
    <session-management>
        <concurrency-control max-sessions="1"/>
    </session-management>
    ...
</http>
    InformationsquelleAutor Corin Fletcher
  2. 7

    Ich denke, dies ist der Weg, es zu tun:

    SecurityContextHolder.getContext().setAuthentication(null)

    Aus der SecurityContext.setAuthentication(Authentifizierung) Javadocs:

    Verpasst dem aktuell authentifizierten
    AUFTRAGGEBER, oder entfernt die
    die Authentifizierung Informationen.

    Parameter: Authentifizierung

    - die neue
    Authentifizierungs-token oder null, falls keine
    weitere Authentifizierung Informationen
    gespeichert werden sollen

    • Diese Antwort ist richtig, auch sicher sein, zu entkräften, Ihre web-Sitzung.
    • Hallo brian, ich denke, dass Ihre Antwort nur zu entkräften (oder zu entfernen) SecurityContextHolder von der aktuellen Anmeldung Benutzer-session. was ich brauche ist das entfernen der SecurityContextHolder anderer Benutzer-session. können wir machen es im Frühling?
    • dies ist nicht für andere user
    • Nein, aber das ist nicht das, was die Frage bittet für die, die entweder
    InformationsquelleAutor Sean Patrick Floyd
  3. 6

    Können Sie auch Folgendes tun, um deaktivieren Sie das SpringSecurity-Sitzung:

    SecurityContextHolder.clearContext()
    InformationsquelleAutor confile
  4. 0

    Dies ist ein Auszug aus meiner application-security.xml

    class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy"
        p:maximumSessions="1" <br>
                    **p:exceptionIfMaximumExceeded="true"** >
        <constructor-arg name="sessionRegistry" ref="sessionRegistry" />

    versuchen, das hinzufügen der Zeile in Fettdruck, nachdem die maximale Anzahl Sitzungen

    InformationsquelleAutor user2794286
Schreibe einen Kommentar