我已将最大并发 session 设置为一个。
现在有 2 种情况 我想处理是否有 Activity session (有人已经使用该用户 ID 登录):
如果用户在同一个浏览器上再次访问登录页面: 在这种情况下,他将直接登录。
如果用户从不同的浏览器/客户端计算机登录:在这种情况下,需要显示错误“此用户的 session 已处于 Activity 状态。您确定要覆盖 session 吗?”。如果用户选择"is",错误将在之前的 session 中显示(我知道错误页面可以配置),如果他选择“否”,则不会登录,之前的 session 将继续存在。
如何使用 spring security 来实现这些用例?到目前为止,我已经能够通过设置最大 session 数和错误页面找到并发 session 的基本管理。
请帮忙。
谢谢。
最佳答案
我想你已经差不多完成了。要在覆盖 session 之前询问用户,请按照以下步骤操作。
- ConcurrentSessionFilter 的 expiredUrl 属性应该到达提供 UI 以询问用户的页面(例如 askUser.html)。
- askUser.html 表单使用 POST 参数是或否提交到另一个 url(例如/api/confirmSessionRewrite)。
在 Controller ConfirmSessionRewrite 中,从 session 注册表中删除用户或将其转发到登录页面。
sessionRegistry.removeSessionInformation(info.getSessionId());- 您必须修改您的配置,以便 ConcurrentSessionFilter 不会在/api/confirmSessionRewrite 请求上运行。否则就是一个循环。
关于java - Spring 安全 : Show warning before overwriting session,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41275516/