SpringBoot+Shiro學習之自定義攔截器管理在線用戶（踢出用戶）

應用場景

1. 我們經常會有用到，當A 用戶在北京登錄 ，然后A用戶在天津再登錄 ，要踢出北京登錄的狀態。如果用戶在北京重新登錄，那么又要踢出天津的用戶，這樣反復。又或是需要限制同一用戶的同時在線數量，超出限制后，踢出最先登錄的或是踢出最后登錄的。

2. 第一個場景踢出用戶是由用戶觸發的，有時候需要手動將某個在線用戶踢出，也就是對當前在線用戶的列表進行管理。

·························································································································································
個人博客：http://z77z.oschina.io/

此項目下載地址：https://git.oschina.net/z77z/springboot_mybatisplus
························································································································································

實現思路

spring security就直接提供了相應的功能；Shiro的話沒有提供默認實現，不過可以很容易的在Shiro中加入這個功能。那就是使用shiro強大的自定義訪問控制攔截器：AccessControlFilter，集成這個接口后要實現下面這三個方法。

abstract boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception;  

boolean onAccessDenied(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception; 
 
abstract boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception;   

isAccessAllowed：表示是否允許訪問；mappedValue就是[urls]配置中攔截器參數部分，如果允許訪問返回true，否則false；

onAccessDenied：表示當訪問拒絕時是否已經處理了；如果返回true表示需要繼續處理；如果返回false表示該攔截器實例已經處理了，將直接返回即可。

onPreHandle：會自動調用這兩個方法決定是否繼續處理；

另外AccessControlFilter還提供了如下方法用於處理如登錄成功后/重定向到上一個請求：

void setLoginUrl(String loginUrl) //身份驗證時使用，默認/login.jsp 
String getLoginUrl()  
Subject getSubject(ServletRequest request, ServletResponse response) //獲取Subject實例 
boolean isLoginRequest(ServletRequest request, ServletResponse response)//當前請求是否是登錄請求 
void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException //將當前請求保存起來並重定向到登錄頁面 
void saveRequest(ServletRequest request) //將請求保存起來，如登錄成功后再重定向回該請求 
void redirectToLogin(ServletRequest request, ServletResponse response) //重定向到登錄頁面 

比如基於表單的身份驗證就需要使用這些功能。

到此基本的攔截器就完事了，如果我們想進行訪問的控制就可以繼承AccessControlFilter；如果我們要添加一些通用數據我們可以直接繼承PathMatchingFilter。

下面就是我實現的訪問控制攔截器：KickoutSessionControlFilter：

/** * @author 作者 z77z * @date 創建時間：2017年3月5日 下午1:16:38 * 思路： * 1.讀取當前登錄用戶名，獲取在緩存中的sessionId隊列 * 2.判斷隊列的長度，大於最大登錄限制的時候，按踢出規則 * 將之前的sessionId中的session域中存入kickout：true，並更新隊列緩存 * 3.判斷當前登錄的session域中的kickout如果為true， * 想將其做退出登錄處理，然后再重定向到踢出登錄提示頁面 */
public class KickoutSessionControlFilter extends AccessControlFilter {

    private String kickoutUrl; //踢出后到的地址
    private boolean kickoutAfter = false; //踢出之前登錄的/之后登錄的用戶 默認踢出之前登錄的用戶
    private int maxSession = 1; //同一個帳號最大會話數 默認1

    private SessionManager sessionManager;
    private Cache<String, Deque<Serializable>> cache;

    public void setKickoutUrl(String kickoutUrl) {
        this.kickoutUrl = kickoutUrl;
    }

    public void setKickoutAfter(boolean kickoutAfter) {
        this.kickoutAfter = kickoutAfter;
    }

    public void setMaxSession(int maxSession) {
        this.maxSession = maxSession;
    }

    public void setSessionManager(SessionManager sessionManager) {
        this.sessionManager = sessionManager;
    }
    //設置Cache的key的前綴
    public void setCacheManager(CacheManager cacheManager) {
        this.cache = cacheManager.getCache("shiro_redis_cache");
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        Subject subject = getSubject(request, response);
        if(!subject.isAuthenticated() && !subject.isRemembered()) {
            //如果沒有登錄，直接進行之后的流程
            return true;
        }

        Session session = subject.getSession();
        SysUser user = (SysUser) subject.getPrincipal();
        String username = user.getNickname();
        Serializable sessionId = session.getId();

        //讀取緩存 沒有就存入
        Deque<Serializable> deque = cache.get(username);
        
        //如果隊列里沒有此sessionId，且用戶沒有被踢出；放入隊列
        if(!deque.contains(sessionId) && session.getAttribute("kickout") == null) {
            //將sessionId存入隊列
            deque.push(sessionId);
            //將用戶的sessionId隊列緩存
            cache.put(username, deque);
        }

        //如果隊列里的sessionId數超出最大會話數，開始踢人
        while(deque.size() > maxSession) {
            Serializable kickoutSessionId = null;
            if(kickoutAfter) { //如果踢出后者
                kickoutSessionId = deque.removeFirst();
            } else { //否則踢出前者
                kickoutSessionId = deque.removeLast();
            }
            //踢出后再更新下緩存隊列
            cache.put(username, deque);
            
            
            try {
                //獲取被踢出的sessionId的session對象
                Session kickoutSession = sessionManager.getSession(new DefaultSessionKey(kickoutSessionId));
                if(kickoutSession != null) {
                    //設置會話的kickout屬性表示踢出了
                    kickoutSession.setAttribute("kickout", true);
                }
            } catch (Exception e) {//ignore exception
            }
        }

        //如果被踢出了，直接退出，重定向到踢出后的地址
        if ((Boolean)session.getAttribute("kickout")!=null&&(Boolean)session.getAttribute("kickout") == true) {
            //會話被踢出了
            try {
                //退出登錄
                subject.logout();
            } catch (Exception e) { //ignore
            }
            saveRequest(request);
            //重定向
            WebUtils.issueRedirect(request, response, kickoutUrl);
            return false;
        }
        return true;
    }
}

將這個自定義的攔截器配置在ShiroConfig.java文件中：

/** * 限制同一賬號登錄同時登錄人數控制 * @return */
 public KickoutSessionControlFilter kickoutSessionControlFilter(){
    KickoutSessionControlFilter kickoutSessionControlFilter = new KickoutSessionControlFilter();
    //使用cacheManager獲取相應的cache來緩存用戶登錄的會話；用於保存用戶—會話之間的關系的；
    //這里我們還是用之前shiro使用的redisManager()實現的cacheManager()緩存管理
    //也可以重新另寫一個，重新配置緩存時間之類的自定義緩存屬性
    kickoutSessionControlFilter.setCacheManager(cacheManager());
    //用於根據會話ID，獲取會話進行踢出操作的；
    kickoutSessionControlFilter.setSessionManager(sessionManager());
    //是否踢出后來登錄的，默認是false；即后者登錄的用戶踢出前者登錄的用戶；踢出順序。
    kickoutSessionControlFilter.setKickoutAfter(false);
    //同一個用戶最大的會話數，默認1；比如2的意思是同一個用戶允許最多同時兩個人登錄；
    kickoutSessionControlFilter.setMaxSession(1);
    //被踢出后重定向到的地址；
    kickoutSessionControlFilter.setKickoutUrl("/kickout");
     return kickoutSessionControlFilter;
  }

將這個kickoutSessionControlFilter()注入到shiroFilterFactoryBean中：

//自定義攔截器
Map<String, Filter> filtersMap = new LinkedHashMap<String, Filter>();
//限制同一帳號同時在線的個數。
filtersMap.put("kickout", kickoutSessionControlFilter());
shiroFilterFactoryBean.setFilters(filtersMap);

由於我們鏈接權限的控制是動態存在數據庫中的，這個可以去看我之前動態權限控制的博文，所以我們還要在數據庫中修改鏈接的權限，將kickout這個自定義的權限配置在對應的鏈接上。如下圖：

 

權限表

還要編寫對應的被踢出的跳轉頁面：

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%
    String path = request.getContextPath();
    String basePath = request.getScheme() + "://"
            + request.getServerName() + ":" + request.getServerPort()
            + path;
%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<script type="text/javascript" src="<%=basePath%>/static/js/jquery-1.11.3.js"></script>
<title>被踢出</title>
</head>
<body>
被踢出 或則在另一地方登錄，或已經達到此賬號登錄上限被擠掉。
<input type="button" id="login" value="重新登錄" />
</body>
<script type="text/javascript"> $("#login").click(function(){ window.open("<%=basePath%>/login"); }); </script>
</html>

到此，第一個場景就實現了，寫到這里實際第二個場景的實現思路已經就很明顯了，可以通過sessionDAO獲取到全部的shiro會話List，然后顯示在前端頁面，踢出對應用戶就可以使用在對應sessionId的session域中設置key為kickout的值為true，上面的KickoutSessionControlFilter就會判斷session域中的kickout值，做響應的處理。這里我就先不上代碼了，大家可以自己試一試。之后再把代碼同步到我的碼雲上，供大家學習交流。

處理了這個需求后，我發現一個問題，這里有一個前提，我們知道Ajax不能做頁面redirect和forward跳轉，所以Ajax請求假如沒登錄，那么這個請求給用戶的感覺就是沒有任何反應，而用戶又不知道用戶已經退出了。這個就要對ajax請求做相應的優化，我已經有解決思路了，大家也可以思考下，我也會在下一博提供代碼。

還有我接下來會對之前的前端頁面進行完善，比如下面是我更新的登錄頁面：

 

登錄頁面

已經更新到我的碼雲上面。