Invalider le printemps de sécurité de session

j'ai besoin d'invalider ( ou kick ) session de l'utilisateur. l'application seule limite la connexion de l'utilisateur à un seul utilisateur par conteneur.

j'essaie d'appeler removeSessionInformation de la session de registre, de son fait pour déverrouiller l'utilisateur. si l'autre utilisateur peut se connecter avec les coups de pied de session nom d'utilisateur.

mais SessionContextHolder à l'utilisateur qui a été mis à la porte est toujours. donc ils ont la même autorité pour accéder à la page protégée.

comment invalider ou de supprimer Principal de SessionContextHolder de session spécifié les informations de registre?

ps : dans mon ancienne application, je donne une variable dans UserDomain (UserDetails) qui détiennent HttpSession. et quand ils ont besoin de coup de pied de l'utilisateur, je viens d'invalider HttpSession d'UserDomain. l', mais je ne sais pas comment le faire au printemps (son plus likey pour supprimer Principal de SessionContextHolder que HttpSession). la mise en œuvre est presque la même chose avec comment SessionRegistryImpl faire au printemps.

InformationsquelleAutor Jeg Bagus | 2011-01-06
  1. 11

    Vous pouvez envisager de Printemps de Sécurité de Contrôle de la Simultanéité. Vous pouvez configurer ce afin de limiter le nombre de sessions simultanées par utilisateur et expire (coup de pied) les sessions existantes si ce nombre est dépassé.

    Le Printemps De La Sécurité De La Gestion De Session

    Ceci est un extrait de notre configuration de Printemps (3):

    <http>
    ...
    <session-management>
        <concurrency-control max-sessions="1"/>
    </session-management>
    ...
</http>
    InformationsquelleAutor Corin Fletcher
  2. 7

    J'avais suppose que c'est la façon de le faire:

    SecurityContextHolder.getContext().setAuthentication(null)

    De la SecurityContext.setAuthentication(Authentification) Javadoc:

    Changements actuellement authentifié
    principal, ou supprime le
    les informations d'authentification.

    Paramètres: authentification

    - la nouvelle
    Jeton d'authentification, ou null si aucune
    de plus amples informations d'authentification
    doit être stocké

    • Cette réponse est correcte, veillez également à l'annulation de votre session web.
    • salut brian, je pense que votre réponse n'invalidate (ou supprimer) SecurityContextHolder de l'actuel loging session de l'utilisateur. ce dont j'ai besoin est de supprimer la SecurityContextHolder d'autres session de l'utilisateur. pouvons-nous le faire à sping?
    • ce n'est pas pour les autres utilisateurs
    • non, mais ce n'est pas ce que la question demande, soit
    InformationsquelleAutor Sean Patrick Floyd
  3. 6

    Vous pouvez également effectuer les opérations suivantes pour effacer les SpringSecurity Session:

    SecurityContextHolder.clearContext()
    InformationsquelleAutor confile
  4. 0

    C'est extraite de mon application-security.xml

    class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy"
        p:maximumSessions="1" <br>
                    **p:exceptionIfMaximumExceeded="true"** >
        <constructor-arg name="sessionRegistry" ref="sessionRegistry" />

    essayez d'ajouter la ligne en gras après le nombre maximal de sessions nombre

    InformationsquelleAutor user2794286