5

我想立即在我的 Grails 应用程序(我正在使用 Spring Security 插件)中传播用户更改(用户角色的更改)。

我发现了这个:

springSecurityService.reauthenticate(userName)

但这适用于当前登录的用户,而不适用于更改用户!

是否有任何简单的解决方案(即使强制注销更改的用户就足够了)。

用例是管理员更改其他用户角色时。如果更改的用户已登录,则在 Spring Security 的上下文中不会立即看到角色更改。

4

3 回答 3

4

感谢 Fabiano,我提供了以下可行的解决方案:

资源.groovy

import org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy
import org.springframework.security.web.session.ConcurrentSessionFilter
import org.springframework.security.core.session.SessionRegistryImpl
import org.springframework.security.web.authentication.session.SessionAuthenticationStrategy

// Place your Spring DSL code here
beans = {
    // bind session registry
    sessionRegistry(SessionRegistryImpl)

    sessionAuthenticationStrategy(ConcurrentSessionControlStrategy, sessionRegistry) {
        maximumSessions = -1
    }

    concurrentSessionFilter(ConcurrentSessionFilter){
        sessionRegistry = sessionRegistry
        expiredUrl = '/login/concurrentSession'
    }
}

MyService.groovy

def sessionRegistry

def expireSession(User user) {
        def userSessions = sessionRegistry.getAllSessions(user, false)
        // expire all registered sessions
        userSessions.each {
            log.debug "Expire session [$it] of the user [$user]"
            it.expireNow()
        }
}

相当容易 :-)

更新:

另外不要忘记注册 HttpSessionEventPublisher 并根据Filter Documentations使用不同的方式将 concurrentSessionFilter 添加到 Config.groovy 。

web.xml

<listener>
    <listener-class>
       org.springframework.security.web.session.HttpSessionEventPublisher
    </listener-class>
</listener>
于 2012-06-29T13:49:17.463 回答
2

我认为您必须声明一个spring security SessionRegistry。看看这里concurrent-sessions和这里list-authenticated-principals

然后,您可以列出和访问经过身份验证的用户并对其进行修改。

于 2012-06-28T22:16:59.203 回答
1

在同样的问题上花了很长时间浏览互联网。提出的解决方案不起作用(可能我没那么幸运:)。所以这是我的方式

首先我们创建一个像这样的 Grails 服务:

class SecurityHelperService {
    final Set<String> userUpdates = new HashSet<String>()

    public void markUserUpdate(String username) {
        synchronized (userUpdates) {
            userUpdates.add(username)
        }
    }

    public boolean clearUserUpdate(String username) {
        synchronized (userUpdates) {
            return userUpdates.remove(username) != null
        }
    }

    public boolean checkUserUpdate() {
        def principal = springSecurityService.principal

        if (principal instanceof org.springframework.security.core.userdetails.User) {
            synchronized (userUpdates) {
                if (!userUpdates.remove(principal.username)) {
                    return true
                }
            }

            springSecurityService.reauthenticate(principal.username)

            return false
        }

        return true
    }
}

在该grails-app/conf目录中,我们创建一个 Grails 过滤器来检查当前用户权限是否已更改,例如

class MyFilters {
    SecurityHelperService securityHelper

    def filters = {
        userUpdateCheck(controller: '*', action: '*') {
            before = {
                if (!securityHelper.checkUserUpdate()) {
                    redirect url: '/'

                    return false
                }

                return true
            }
        }
    }
}

就这样。每次在代码中更新用户权限时,我们都会调用服务方法

securityHelper.markUserUpdate('username')

当在线用户下次访问页面时,他/她的权限会自动检查并重新加载。无需手动注销。

可选地,我们在新登录时清除以前的用户更新,以避免过滤器中不必要的重定向

希望这可以帮助

于 2013-03-29T07:55:06.590 回答