5

我已经使用 Spring Security 开发了一个 Web 应用程序。对于登录,它从 LDAP 获得访问权限。现在我想使用 spring security 本身来管理会话,我可以看到通过使用authentication.getName()I am getting theusername并且我还可以获得sessionID.

现在我想确定如果同一个用户尝试使用其他浏览器从同一个系统登录,他应该收到一条消息,说他已经登录了他的帐户。

谁能给出一个想法如何实现这一目标????

<security:session-management 
        invalid-session-url="/login.jsp?error=sessionExpired"
        session-authentication-error-url="/login.jsp?error=alreadyLogin">
    <security:concurrency-control 
               max-sessions="1" 
               expired-url="/login.jsp?error=sessionExpiredDuplicateLogin"
               error-if-maximum-exceeded="false" />
</security:session-management>

当我使用它并尝试使用其他浏览器登录时,它给了我以下错误:

HTTP Status 500 - Request processing failed; nested exception is java.lang.IllegalStateException: Cannot call sendError() after the response has been committed
enter code here
4

1 回答 1

6

我可能遗漏了一些东西,但我尝试了下一个配置,它按预期工作:

<!-- more configuration stuff -->

<sec:form-login login-page="/login.jsp"
    default-target-url="/defaultTarget.jsp"
    authentication-failure-url="/login.jsp?error=true"
    login-processing-url="/login" always-use-default-target="true" />

<sec:session-management>
    <sec:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
</sec:session-management>

当我尝试从另一个浏览器使用同一用户登录时,它会将我带到 /login.jsp 并显示错误消息:Maximum sessions of 1 for this principal exceeded

编辑:你还需要把它放在你的web.xml

<listener>
    <listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class>
</listener>
于 2013-02-28T17:24:15.813 回答