Spring Security如何強(qiáng)制退出指定用戶

這篇文章將為大家詳細(xì)講解有關(guān)Spring Security如何強(qiáng)制退出指定用戶，小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

應(yīng)用場(chǎng)景

最近社區(qū)總有人發(fā)文章帶上小廣告，嚴(yán)重影響社區(qū)氛圍，好氣！對(duì)于這種類型的用戶，就該永久拉黑！

社區(qū)的安全框架使用了 spring-security 和 spring-session，登錄狀態(tài) 30 天有效，session 信息是存在 redis 中，如何優(yōu)雅地處理這些不老實(shí)的用戶呢？

首先，簡(jiǎn)單劃分下用戶的權(quán)限：

1. 管理員（ROLE_MANAGER）：基本操作 + 管理操作

2. 普通用戶（ROLE_USER）：基本操作

3. 拉黑用戶（ROLE_BLACK）：不允許登錄

然后，拉黑指定用戶（ROLE_USER -> ROLE_BLACK），再?gòu)?qiáng)制該用戶退出即可（刪除該用戶在 redis 中 session 信息）。

項(xiàng)目相關(guān)依賴及配置

Maven 依賴

<!-- 安全 Security -->
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <!-- Redis -->
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-data-redis</artifactId>
    </dependency>

    <!-- Spring Session Redis -->
    <dependency>
      <groupId>org.springframework.session</groupId>
      <artifactId>spring-session-data-redis</artifactId>
    </dependency>

Spring Session 策略配置 application.yml

# 此處省略 redis 連接相關(guān)配置
spring:
 session:
  store-type: redis

Spring Security 配置代碼示例

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
        .antMatchers("/user/**").authenticated()
        .antMatchers("/manager/**").hasAnyRole(RoleEnum.MANAGER.getMessage())
        .anyRequest().permitAll()
        .and().formLogin().loginPage("/login").permitAll()
        .and().logout().permitAll()
        .and().csrf().disable();
  }

}

強(qiáng)制退出指定給用戶接口

import com.spring4all.bean.ResponseBean;
import com.spring4all.service.UserService;
import lombok.AllArgsConstructor;
import org.springframework.session.FindByIndexNameSessionRepository;
import org.springframework.session.Session;
import org.springframework.session.data.redis.RedisOperationsSessionRepository;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;
@RestController
@AllArgsConstructor
public class UserManageApi {

  private final FindByIndexNameSessionRepository<? extends Session> sessionRepository;

  private final RedisOperationsSessionRepository redisOperationsSessionRepository;

  private final UserService userService;

  /**
   * 管理指定用戶退出登錄
   * @param userId 用戶ID
   * @return 用戶 Session 信息
   */
  @PreAuthorize("hasRole('MANAGER')")
  @GetMapping("/manager/logout/{userId}")
  public ResponseBean data(@PathVariable() Long userId){
    // 查詢 PrincipalNameIndexName（Redis 用戶信息的 key），結(jié)合自身業(yè)務(wù)邏輯來(lái)實(shí)現(xiàn)
    String indexName = userService.getPrincipalNameIndexName(userId);
    // 查詢用戶的 Session 信息，返回值 key 為 sessionId
    Map<String, ? extends Session> userSessions = sessionRepository.findByIndexNameAndIndexValue(FindByIndexNameSessionRepository.PRINCIPAL_NAME_INDEX_NAME, indexName);
    // 移除用戶的 session 信息
    List<String> sessionIds = new ArrayList<>(userSessions.keySet());
    for (String session : sessionIds) {
      redisOperationsSessionRepository.deleteById(session);
    }
    return ResponseBean.success(userSessions);
  }
}

說(shuō)明 indexName 為 Principal.getName() 的返回值。

關(guān)于“Spring Security如何強(qiáng)制退出指定用戶”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。