0

作为应用程序管理员,我希望能够注销任何用户,例如,在将标志“启用 = false”设置为选定用户之后。春天安全有可能吗?

我应该补充一点,我的应用程序允许用户使用“记住我”。

我正在使用:grails 2.2.1 插件 spring-security-core 1.2.7.3

设置 spring-security-core (config.groovy):

grails.plugins.springsecurity.useHttpSessionEventP ublisher = true 
grails.plugins.springsecurity.useSessionFixationPr evention = true 
grails.plugins.springsecurity.userLookup.userDomai nClassName = 'com.app.User' 
grails.plugins.springsecurity.userLookup.authority JoinClassName = 'com.app.UserRole' 
grails.plugins.springsecurity.authority.className = 'com.app.Role' 
grails.plugins.springsecurity.userLookup.usernameP ropertyName = 'email' 

grails.plugins.springsecurity.securityConfigType = "Requestmap" 
grails.plugins.springsecurity.rejectIfNoRule = true 
grails.plugins.springsecurity.requestMap.className ='com.app.Requestmap' 
grails.plugins.springsecurity.requestMap.urlField= 'url' 
grails.plugins.springsecurity.requestMap.configAtt ributeField='configAttribute' 
grails.plugins.springsecurity.rememberMe.cookieNam e = 'remember_me' 
grails.plugins.springsecurity.cacheUsers = false 
grails.plugins.springsecurity.rememberMe.tokenVali ditySeconds=604800

有没有人可能有类似的问题?先感谢您 :)

4

2 回答 2

0

感谢 Codelark,我正在阅读有关过滤器的信息并尝试使用它们 :) 不幸的是,当我为所选用户应用程序设置启用 = false 时,不会将其重定向到“/login /authfail”。最重要的是,更改(启用 = 假)对用户配置文件可见,但缺乏所需的效果。

我要补充一点,我试图设置“expireNow”一个用户会话:

def expireSession(User user) {          
    def orginalUser = springSecurityService?.principal.username
    springSecurityService?.reauthenticate(user?.email)  //modified user np: test@app.com
    springSecurityService?.reauthenticate(orginalUser)  //admin np: admin@app.com

    sessionRegistry.getAllPrincipals()?.each { princ ->         
        sessionRegistry.getAllSessions(princ, false);

        if(princ?.username?.equals(user?.email)) {      //killing sessions only for user (test@app.com) 
            sessionRegistry.getAllSessions(princ, false)?.each { sess ->
                sess.expireNow()                
            }
        }//if
    }//each
}//expireSession

即 sessionRegistry 确实为每个用户获取活动会话,但是通过调用:

sess.expireNow()

结果是再次为同一个用户调用expireSession(user),会话不再可见。这是可以理解的,因为它已经过期了。

但尽管用户会话已过期。他可能会继续在应用程序中工作。该应用程序不会注销您

于 2013-03-21T22:56:05.280 回答
0

将该UserDetails.enabled标志设置为 false 应该会导致DisabledException在用户的下一个安全请求中被抛出。这可以将用户发送到默认authfail处理程序,或者您可以在您的配置中配置异常处理程序UrlMappings以将用户发送到自定义控制器或操作。

如果您没有enabled在应用程序的其他任何地方使用该标志,您可以将 定向DisabledException到清除身份验证会话(和 rememberMe)的操作,然后重置该enabled标志。

另一种可能的方法是创建一个自定义过滤器并将其注入到您的Bootstrap.

url 异常映射和过滤器配置都在Spring Security 插件文档中描述

于 2013-03-19T22:18:53.060 回答