8
私はTomcat 6.0.32、Spring Security 3.0.5を使用しています春のセキュリティセッションを無効にすることはできますか?
私のWebアプリケーションでは、一部のユーザーが他のユーザーの権限を変更する権限を持っています。これが起こると、権限が変更されたユーザーのセッションが無効になります。これは可能でしょうか?
A
答えて
12
通常、HttpSessionにアクセスする唯一の方法はHttpServletRequestオブジェクトを使用するため、コンテナ固有のAPIを使用せずにアカウント情報を変更するとすぐにユーザーセッションを無効にすることはできません。
代わりに、メモリ内のストアにユーザー名をキャッシュし、フィルタまたはカスタムAccessDecisionVoterのいずれかで参照できます。フラグは実際には一時的なので(サーバーの再起動後は無関係です)、すべての要求に対してデータベースクエリのパフォーマンスヒットを避ける方が良いので、ユーザーテーブルにフラグを使用することは本当に良い考えではありません。
この種のものにはblog article on using custom votersがあります。時代遅れですが、一般的なアプローチは健全です。
もう1つの方法は、セッション管理機能の一部であるSpring SecurityのSessionRegistryを使用することです。通常、これはユーザーが持つことができるセッションの数を制限するために使用されますが、list currently authenticated usersにも使用できます。また、セッションの有効期限をマークすることもできます。
完全にログアウトするのではなく、ユーザーの権限をリロードするだけのアイデアかもしれません。
0
HTTPSessionオブジェクトには無効化メソッドがあります。ユーザーがいくつかのアクセス権を変更すると、このメソッドを呼び出して現在のセッションに対して無効化して再ロードする必要があります。
2
複数のサーバーでアプリケーションを実行していると仮定すると、これをすべてのサーバーで実行する方法が必要です。
ユーザprvisが変更されたときに更新されるユーザテーブル(または同等のもの)にタイムスタンプフィールドを追加します。
現在のセッションが認証されているかどうかをチェックし、DBのユーザのタイムスタンプがセッションの作成時間よりも長いことを確認するサーブレットフィルタを作成します。もしそうなら、セッションを無効にしてどこかにリダイレクトしてください。
このフィルタは、Spring Securityフィルタの後に来る必要があります。
複数のサーバーでアプリケーションを実行していない場合は、SessionRegistryを使用できます。
+0
フラグの代わりにタイムスタンプを使用するように変更しました。 – sourcedelica
+0
ユーザprvisとは何ですか? – Stephane
+0
あなたのシナリオは2回目のログインを拒否することですか?最初のログインをログアウトしないでください。 – Stephane
6
私はこれがあなたが必要とするものだと信じています。ログインしているユーザーの一覧を取得し、必要のないユーザーのセッションを無効にします。
関連する問題
- 1. 春のセキュリティセッションを無効にします
- 2. 年齢別に春のセキュリティセッションの有効期限を設定することはできますか?
- 3. ログアウトによる春のセキュリティセッションの無効化
- 4. 春のセキュリティセッションの有効期限
- 5. SQLALCHEMY_TRACK_MODIFICATIONSを無効にすることはできますか?
- 6. a:visitedを無効にすることはできますか?
- 7. コントロール:HoverButtonを無効にすることはできますか?
- 8. control-Cを無効にすることはできますか?
- 9. パラメータパターンマッチングを無効にすることはできますか?
- 10. [アプリケーションエラー]ダイアログボックスを無効にすることはできますか?
- 11. iPhoneエコーキャンセル、無効にすることはできますか?
- 12. 春のセキュリティセッションのタイムアウト - ブラウザキャッシュのクリア
- 13. firefoxとchromeのデフォルトキャッシングを無効にすることはできますか?
- 14. ベルを無効にすることはできません
- 15. .NETアセンブリからのリフレクションを無効にすることはできますか?
- 16. 春の起動時にセキュリティを無効にできません
- 17. JFaceウィザードで戻るボタンを無効にすることはできますか?
- 18. c3p0のSystem.errへのロギングを無効にすることはできますか?
- 19. laravelの 'attach'メソッドのタイムスタンプを無効にすることはできますか?
- 20. javascriptからフィールドを無効にすることはできますか?
- 21. スクリプトからFirefox JavaScript JITを無効にすることはできますか?
- 22. リボンコントロールのアプリケーションメニューを無効にすることはできますか? (WPF)
- 23. iPhoneの自動ハイパーリンクを無効にすることはできますか?
- 24. textareaの複数行オプションを無効にすることはできますか?
- 25. 中間モデルの出力を無効にすることはできますか?
- 26. Xcode-UIテストのアニメーションを無効にすることはできますか?
- 27. iPhoneのノイズリダクション、それを無効にすることはできますか?
- 28. EditTextのパスワードオンテキストフィールドを無効にすることはできますか?
- 29. linuxディレクトリのグループ権限を無効にすることはできますか?
- 30. リストボックス内の要素を無効にすることはできますか?
アイデアと有益なリンクをありがとう。私はそれにショットをつけて、それがどのように進むのかを知らせます。 – kasdega
これは、アプリが1台のサーバーで実行されている場合にのみ機能します。それは...ですか? – sourcedelica
現在のところ、1台のサーバーにしかありません。私たちが複数のサーバーに移動する際には、あなたの注意点を念頭に置いていきます。 – kasdega