Spring Security获取所有登录用户的IP.doc

在spring security3 中获取所有登录用户的信息，包括比较难找的IP一：如果单纯获取当前登录用户的信息，那么简单，只要认证成功了，在任何地方使用：import org.springframework.security.core.Authentication;import org.springframework.security.core.GrantedAuthority;import org.springframework.security.core.context.SecurityContextHolder;importorg.springframework.security.web.authentication.WebAuthenticationDetailsimport org.springframework.security.core.userdetails.User/auth包含两个很重要的对象1:Details 2:PrincipalAuthentication auth =SecurityContextHolder.getContext().getAuthentication();/Details可转换为WebAuthenticationDetails/wauth包含着1:remoteAddress 2:sessionIdWebAuthenticationDetails wauth = (WebAuthenticationDetails) auth.getDetails();System.out.println(当前登录用户的ip： + wauth.getRemoteAddress();System.out.println(当前登录用户的sessionID： + wauth.getSessionId();/Principal可转换为User/u包含登录账户和权限，扩展此对象可以让其包含更多信息，像真实姓名，所在部门，用户id.User u = (User) auth.getPrincipal();System.out.println(当前登录用户的账号： + u.getUsername();System.out.println(当前登录用户的权限： + u.getAuthorities();System.out.println(当前登录用户的姓名(扩展User之后才能使用)： + u.getId();二：如果是想获取所有登录用户的信息，也不复杂，所有的登录用户都保存在SessionRegistry上，所有只要变量此对象就能获取所有在线用户，获取它也简单，只要用spring注入就可以了代码如下：package com.baodian;import java.text.Format;import java.text.SimpleDateFormat;import java.util.Date;import java.util.List;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.security.core.session.SessionInformation;import org.springframework.security.core.session.SessionRegistry;import org.springframework.security.core.userdetails.User;import org.springframework.stereotype.Component;Component(getUser)public class GetUser Autowired/利用spring注入后就可以取所有登录用户，不能加static属性，否则会取不到private SessionRegistry sessionRegistry;private Format ft = new SimpleDateFormat(yyyy-MM-dd HH:mm:ss);public void findlgUser() List slist = sessionRegistry.getAllPrincipals();String json = 共 + slist.size() + 用户登录，服务器时间： + ft.format(new Date() + n;for(int i=0; i + 账号： + u.getUsername() + n;/第二个参数表示是否取单点登录时，超出限制而被弹出用户List ilist = sessionRegistry.getAllSessions(slist.get(i), true);json = json + - + ilist.size() + 处登录n;for(int j=0; jilist.size(); j+) SessionInformation sif = ilist.get(j);u = (User) sif.getPrincipal();json = json + - + (j+1) + 用户名 + u.getUsername() + 最后访问时间： + ft.format(sif.getLastRequest() + session: + sif.getSessionId() + 限制登录： + sif.isExpired() + n;/强制退出1.将其限制，2.将其移除，使用第一种比较好/sif.expireNow();/sessionRegistry.removeSessionInformation(sif.getSessionId();System.out.println(json);运行截图：我设置的是允许多个用户同时使用一个账号三：但是要想获取所有登录用户的ip就有点复杂了（至少我找了很久都没发现有更简单的办法），因为用来保存ip的WebAuthenticationDetails对象只保存在spring的上下文中，并没有在像SessionRegistry这样好用的对象中保存一份，那怎么办，只有改写代码，把ip保存到SessionRegistry中，这样就省事很多了。1.首先找到把登录用户扔进SessionRegistry中的对象：org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy此对象的61行：onAuthentication() 和 148行onSessionChange()上都有使用sessionRegistry.registerNewSession()把sessionId和权限两个元素保存起来，那么好办了，在这个registerNewSession方法中再加一个ip元素就行了关于ip另外保存的看法：一开始我想，既然spring security自己有保存每个登录用户的ip，也就是在WebAuthenticationDetails中，如果自己另外再保存一份，不是多余了吗，直接找到保存ip的那个地方不是最好的解决方案吗，可是搜了很久都没发现，到了准备自己另外保存ip的时候，发现ConcurrentSessionControlStrategy这里，它也是这样多存一份的，因为WebAuthenticationDetails已经有sessionID了，但它还是自己创建一个sessionID自己保存起来，虽然这两个sessionID获取有点区别，但他们如果同时存在时，他们是一样的。既然这样我自己来保存ip不是理所当然了嘛，废话少说，改代码。改代码就是找到源码，把它复制到自己项目的src代码中，注意包名和类名都要一样。因为tomcat在找class时，是先从自己写的代码classes目录中找，找不到时才到lib包目录中找。所以自己写的代码会优先生效。另外更可靠的办法是在原包中修改代码，改完后，重新打包。以下是改代码的部分：2. ConcurrentSessionControlStrategy 中的67行原来：sessionRegistry.registerNewSession(request.getSession().getId(),authentication.getPrincipal();改为：/getRemoteAddr()在外网使用可能不可靠，可以改进下sessionRegistry.registerNewSession(request.getSession().getId(), request.getRemoteAddr(), authentication.getPrincipal();152行原来：sessionRegistry.registerNewSession(newSession.getId(),auth.getPrincipal()改为：sessionRegistry.registerNewSession(newSession.getId(),(WebAuthenticationDetails)auth.getDetails().getRemoteAddress(),auth.getPrincipal();3. org.springframework.security.core.session.SessionRegistry中的73行：void registerNewSession(String sessionId, Object principal);改为：void registerNewSession(String sessionId, String remoteIp, Object principal);4. 实现类Org.springframework.security.core.session.SessionRegistryImpl中的102行改为：public void registerNewSession(String sessionId, String remoteIp,Object principal) 114行改为：sessionIds.put(sessionId, new SessionInformation(principal, sessionId, remoteIp, new Date();5. org.springframework.security.core.session.SessionInformation添加属性：private final String remoteIp;添加get方法：public String getRemoteIp() return remoteIp;52行改为：public SessionInformation(Object principal, String sessionId, String remoteIp, Date lastRequest) 并在这个构造函数中添加：this.remoteIp = remoteIp;改到这里已经完成，如果不出意外就实现查看所有登录用户的ip的功能。取的时候在本文第二页20行作用的这段代码上改为：SessionInf