Shiro 并發(fā)登錄控制

并發(fā)登錄人數(shù)控制

在某些項(xiàng)目中可能會(huì)遇到如每個(gè)賬戶同時(shí)只能有一個(gè)人登錄或幾個(gè)人同時(shí)登錄，如果同時(shí)有多人登錄：要么不讓后者登錄；要么踢出前者登錄（強(qiáng)制退出）。比如 spring security 就直接提供了相應(yīng)的功能；Shiro 的話沒(méi)有提供默認(rèn)實(shí)現(xiàn)，不過(guò)可以很容易的在 Shiro 中加入這個(gè)功能。

示例代碼基于《第十六章 綜合實(shí)例》完成，通過(guò) Shiro Filter 機(jī)制擴(kuò)展 KickoutSessionControlFilter 完成。

首先來(lái)看看如何配置使用（spring-config-shiro.xml）

kickoutSessionControlFilter 用于控制并發(fā)登錄人數(shù)的

<bean id="kickoutSessionControlFilter" 
class="com.github.zhangkaitao.shiro.chapter18.web.shiro.filter.KickoutSessionControlFilter">
    <property name="cacheManager" ref="cacheManager"/>
    <property name="sessionManager" ref="sessionManager"/>
    <property name="kickoutAfter" value="false"/>
    <property name="maxSession" value="2"/>
    <property name="kickoutUrl" value="/login?kickout=1"/>
</bean>

• cacheManager：使用 cacheManager 獲取相應(yīng)的 cache 來(lái)緩存用戶登錄的會(huì)話；用于保存用戶—會(huì)話之間的關(guān)系的；
• sessionManager：用于根據(jù)會(huì)話 ID，獲取會(huì)話進(jìn)行踢出操作的；
• kickoutAfter：是否踢出后來(lái)登錄的，默認(rèn)是 false；即后者登錄的用戶踢出前者登錄的用戶；
• maxSession：同一個(gè)用戶最大的會(huì)話數(shù)，默認(rèn) 1；比如 2 的意思是同一個(gè)用戶允許最多同時(shí)兩個(gè)人登錄；
• kickoutUrl：被踢出后重定向到的地址；

shiroFilter 配置

   <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login"/>
        <property name="filters">
            <util:map>
                <entry key="authc" value-ref="formAuthenticationFilter"/>
                <entry key="sysUser" value-ref="sysUserFilter"/>
                <entry key="kickout" value-ref="kickoutSessionControlFilter"/>
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value>
                /login = authc
                /logout = logout
                /authenticated = authc
                /** = kickout,user,sysUser
            </value>
        </property>
    </bean>

此處配置除了登錄等之外的地址都走 kickout 攔截器進(jìn)行并發(fā)登錄控制。

測(cè)試

此處因?yàn)?maxSession=2，所以需要打開(kāi) 3 個(gè)瀏覽器（需要不同的瀏覽器，如 IE、Chrome、Firefox），分別訪問(wèn) http://localhost:8080/chapter18/ 進(jìn)行登錄；然后刷新第一次打開(kāi)的瀏覽器，將會(huì)被強(qiáng)制退出，如顯示下圖：

KickoutSessionControlFilter 核心代碼：

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
    Subject subject = getSubject(request, response);
    if(!subject.isAuthenticated() && !subject.isRemembered()) {
        //如果沒(méi)有登錄，直接進(jìn)行之后的流程
        return true;
    }
    Session session = subject.getSession();
    String username = (String) subject.getPrincipal();
    Serializable sessionId = session.getId();
    //TODO 同步控制
    Deque<Serializable> deque = cache.get(username);
    if(deque == null) {
        deque = new LinkedList<Serializable>();
        cache.put(username, deque);
    }
    //如果隊(duì)列里沒(méi)有此sessionId，且用戶沒(méi)有被踢出；放入隊(duì)列
    if(!deque.contains(sessionId) && session.getAttribute("kickout") == null) {
        deque.push(sessionId);
    }
    //如果隊(duì)列里的sessionId數(shù)超出最大會(huì)話數(shù)，開(kāi)始踢人
    while(deque.size() > maxSession) {
        Serializable kickoutSessionId = null;
        if(kickoutAfter) { //如果踢出后者
            kickoutSessionId = deque.removeFirst();
        } else { //否則踢出前者
            kickoutSessionId = deque.removeLast();
        }
        try {
            Session kickoutSession =
                sessionManager.getSession(new DefaultSessionKey(kickoutSessionId));
            if(kickoutSession != null) {
                //設(shè)置會(huì)話的kickout屬性表示踢出了
                kickoutSession.setAttribute("kickout", true);
            }
        } catch (Exception e) {//ignore exception
        }
    }
    //如果被踢出了，直接退出，重定向到踢出后的地址
    if (session.getAttribute("kickout") != null) {
        //會(huì)話被踢出了
        try {
            subject.logout();
        } catch (Exception e) { //ignore
        }
        saveRequest(request);
        WebUtils.issueRedirect(request, response, kickoutUrl);
        return false;
    }
    return true;
}

此處使用了 Cache 緩存用戶名—會(huì)話 id 之間的關(guān)系；如果量比較大可以考慮如持久化到數(shù)據(jù)庫(kù) / 其他帶持久化的 Cache 中；另外此處沒(méi)有并發(fā)控制的同步實(shí)現(xiàn)，可以考慮根據(jù)用戶名獲取鎖來(lái)控制，減少鎖的粒度。

另外可參考 JavaEE 項(xiàng)目開(kāi)發(fā)腳手架，其提供了后臺(tái)踢出用戶的功能：
https://github.com/zhangkaitao/es/blob/master/web/src/main/java/com/sishuok/es/sys/user/web/controller/UserOnlineController.java