Spring Security 強制退出指定使用者

應用場景

最近社群總有人發文章帶上小廣告，嚴重影響社群氛圍，好氣！對於這種型別的使用者，就該永久拉黑！

社群的安全框架使用了 spring-security 和 spring-session，登入狀態 30 天有效，session 資訊是存在 redis 中，如何優雅地處理這些不老實的使用者呢？

首先，簡單劃分下使用者的許可權：

• 管理員（ROLE_MANAGER）：基本操作 + 管理操作

• 普通使用者（ROLE_USER）：基本操作

• 拉黑使用者（ROLE_BLACK）：不允許登入

然後，拉黑指定使用者（ROLE_USER -> ROLE_BLACK），再強制該使用者退出即可（刪除該使用者在 redis 中 session 資訊）。

專案相關依賴及配置

Maven 依賴

        <!-- 安全 Security --&gt
        
            org.springframework.boot
            spring-boot-starter-security
        

        <!-- Redis --&gt
        
            org.springframework.boot
            spring-boot-starter-data-redis
        

        <!-- Spring Session Redis --&gt
        
            org.springframework.session
            spring-session-data-redis
        

Spring Session 策略配置 application.yml

# 此處省略 redis 連線相關配置spring:
  session:
    store-type: redis

Spring Security 配置程式碼示例

@EnableWebSecuritypublic class WebSecurityConfig extends WebSecurityConfigurerAdapter {    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/user/**").authenticated()
                .antMatchers("/manager/**").hasAnyRole(RoleEnum.MANAGER.getMessage())
                .anyRequest().permitAll()
                .and().formLogin().loginPage("/login").permitAll()
                .and().logout().permitAll()
                .and().csrf().disable();
    }

}

強制退出指定給使用者介面

import com.spring4all.bean.ResponseBean;import com.spring4all.service.UserService;import lombok.AllArgsConstructor;import org.springframework.session.FindByIndexNameSessionRepository;import org.springframework.session.Session;import org.springframework.session.data.redis.RedisOperationsSessionRepository;import org.springframework.web.bind.annotation.GetMapping;import org.springframework.web.bind.annotation.PathVariable;import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.RestController;import java.util.ArrayList;import java.util.List;import java.util.Map;@RestController@AllArgsConstructorpublic class UserManageApi {    private final FindByIndexNameSessionRepository extends Session> sessionRepository;    private final RedisOperationsSessionRepository redisOperationsSessionRepository;    private final UserService userService;    /**
     * 管理指定使用者退出登入
     * @param userId 使用者ID
     * @return 使用者 Session 資訊
     */
    @PreAuthorize("hasRole('MANAGER')")    @GetMapping("/manager/logout/{userId}")    public ResponseBean data(@PathVariable() Long userId){        // 查詢 PrincipalNameIndexName（Redis 使用者資訊的 key），結合自身業務邏輯來實現
        String indexName = userService.getPrincipalNameIndexName(userId);        // 查詢使用者的 Session 資訊，返回值 key 為 sessionId
        Map userSessions = sessionRepository.findByIndexNameAndIndexValue(FindByIndexNameSessionRepository.PRINCIPAL_NAME_INDEX_NAME, indexName);        // 移除使用者的 session 資訊
        List sessionIds = new ArrayList(userSessions.keySet());        for (String session : sessionIds) {
            redisOperationsSessionRepository.deleteById(session);
        }        return ResponseBean.success(userSessions);
    }

}

說明 indexName 為  Principal.getName()  的返回值。

相關文件

• Spring Session With Redis

作者：Anoyi
連結：