grails - 使用Spring Security插件强制注销已认证的用户

标签 grails spring-security grails-plugin grails-2.0

我有以下问题:我具有默认的用户和角色域,并且使用spring安全插件。有一个特殊要求,即如果admin使用USER_ROLE删除用户并且此用户已通过身份验证,则应立即将该用户踢出应用程序。如果我们拥有该用户的对象实例,是否可以通过编程方式为该用户注销? Somethig喜欢

def(User user) {

    someSpringService.forceLogout(user)

}

谢谢!

最佳答案

我是个新手。最近,我的任务是通过admin强制注销用户的特权。
所以,经过一番研究,这是我的解决方案。我一直在跟踪用户 session ,一旦更改了他的 session ,我只会使他的 Activity session 过期。

在web.xml文件中,添加此侦听器

<listener>
<listener-class>    
    org.springframework.security.web.session.HttpSessionEventPublisher
</listener-class>
</listener>

在resources.groovy中
import org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy
import org.springframework.security.web.session.ConcurrentSessionFilter
import org.springframework.security.core.session.SessionRegistryImpl
import org.springframework.security.web.authentication.session.SessionAuthenticationStrategy

beans = {
// bind session registry
    sessionRegistry(SessionRegistryImpl)
    sessionAuthenticationStrategy(ConcurrentSessionControlStrategy,sessionRegistry){ 
        maximumSessions = -1 }
    concurrentSessionFilter(ConcurrentSessionFilter){
    sessionRegistry = sessionRegistry
    expiredUrl = '/login/auth?f=true'
    }
}

在 Controller 中
def expireSession(User user) {
    log.info("Process to expire session begins")
    def orginalUser = springSecurityService?.principal.username
    log.info("session infos for all principals: ${sessionRegistry.getAllPrincipals()}")
    sessionRegistry.getAllPrincipals()?.each { princ ->
        def allSessions = sessionRegistry.getAllSessions(princ, true);
        log.info("all sessions: ${allSessions}")
        log.info("principal: $princ; email: ${user?.email}; username: ${princ?.username}")
        if(princ?.username?.equals(user?.email)) {      //killing sessions only for user (test@app.com)
            sessionRegistry.getAllSessions(princ, true)?.each { sess ->
                log.info("session: ${sess}; expiring it")
                if(sess.expireNow())
                    log.info("----session expired----")
                springSecurityService?.reauthenticate(user?.email)
                springSecurityService?.reauthenticate(orginalUser)
            }

        }
    }
}

在RequestFilters.groovy中,在每个请求上测试 session 是否有效或已过期的位置
class RequestFilters {

def springSecurityService
def sessionRegistry

def filters = {
    all(controller:'*', action:'*') {
        before = {
            log.info(controllerName + '/' + actionName +  " : " + params)
            log.info("request ${request}; session: ${request?.session}")
            def sessInfo = sessionRegistry.getSessionInformation(request?.session?.id)
            log.info("sessionRegistry: ${sessionRegistry}")
            log.info("Session Id: ${request?.session?.id}")
            log.info("session info: ${sessInfo}; is expired: ${sessInfo?.expired}")
            if(sessInfo?.expired==true)
                response.sendRedirect(grailsApplication.config.grails.serverURL+"/j_spring_security_logout");

        }
        after = { Map model ->

        }
        afterView = { Exception e ->

        }
    }     
}

关于grails - 使用Spring Security插件强制注销已认证的用户,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28051887/

上一篇:Grails 在应用程序创建时对框架创建的工件进行单元测试

下一篇:grails - 在 Controller 中使用快捷方式重定向

相关文章:

grails - 与Grails的零对多关系?

java - Hibernate Spring 安全修改设计如何

tomcat - 为 grails 1.3.9 安装 tomcat nio 插件时出错

spring - 在 grails 中更改 Spring Security 插件的登录页面

grails - 如何防止迁移尝试删除 View ?

linux - Grails 安装

grails - 为什么Grails使用Ivy作为构建和依赖管理器?

spring-security - Spring-Boot 和 Spring-Security 配置

grails - Grails 无法识别 Spring Security Role Domain 类

grails - Spring安全核心框架在Grails Spring安全核心插件中配置了两次

©2024 IT工具网  联系我们