20--会话管理之会话并发控制

前言

现在我们已经掌握了如何防御会话固定攻击，以及在会话过期时的处理策略，但是这些都是针对单个HttpSession来说的，对于会话来说，我们还有另一种情况需要考虑：会话并发控制！

那什么是会话并发控制呢？假如我想实现 “在我们的网站中，同一时刻只允许一个用户登录” 这样的效果，该怎么做？

请各位带着以上的这些问题，跟着 一一哥 继续往下学习吧。

一. 会话并发控制

1. 会话并发控制

首先我们来了解一下会话并发控制的概念。

有时候出于安全的目的，我们可能会有这样的需求，就是规定在同一个系统中，只允许一个用户在一个终端上登录，这其实就是对会话的并发控制。

2. 并发控制实现思路

如果我们要想上述目标，即同一个用户不能同时在两台设备上登录，我们有两种解决思路：

> - 后来的登录自动踢掉前面的登录，例如QQ。 > - 如果用户已经登录，则不允许后来者登录。

以上两种思路都能实现这个功能，具体使用哪一个，还要看我们具体的需求。在 Spring Security 框架中，这两种思路都很容易实现，一个配置就可以搞定。

3. 实现方案一：踢掉原有登录用户

我们可以在SecurityConfig配置类中，通过maximumSessions()方法来置单个用户允许同时在线的最大并发会话数，如果没有额外配置，重新登录的会话会踢掉旧的会话。

@EnableWebSecurity(debug = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**")
                .hasRole("ADMIN")
                .antMatchers("/user/**")
                .hasRole("USER")
                .antMatchers("/app/**")
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .csrf()
                .disable()
                .formLogin()
                .permitAll()
                .and()
                //进行会话管理
                .sessionManagement()
                //最大并发会话数,设置单个用户允许同时在线的最大会话数,如果没有额外配置,重新登录的会话会踢掉旧的会话.
                .maximumSessions(1);
    }

    @Bean
    public PasswordEncoder passwordEncoder() {

        return NoOpPasswordEncoder.getInstance();
    }

}