java - Spring 限制最大 session 数；限制最大用户数

Question

我可以知道可以使用 spring security 来限制能够同时登录网站的最大用户数吗？

绝对不是并发 session 控制参数。我想要的是例如，我想限制最多只允许 1000 个用户同时登录。如果超过该数量，请转发到说明超出最大用户数的通知页面

Answer 1

可以使用Spring Security的并发 session 控制，通过访问SessionRegistry来了解当前有多少用户登录。在Spring Security 3中，ConcurrentSessionControlStrategy负责控制用户登录后是否允许创建 session 。您可以扩展此类并根据用户数量添加额外的检查:

public class MySessionAuthenticationStrategy extends ConcurrentSessionControlStrategy {
    int MAX_USERS = 1000; // Whatever
    SessionRegistry sr;

    public MySessionAuthenticationStrategy(SessionRegistry sr) {
        super(sr);
        this.sr = sr;
    }

    @Override
    public void onAuthentication(Authentication authentication, HttpServletRequest request, HttpServletResponse response) {
        if (sr.getAllPrincipals().size() > MAX_USERS) {
            throw new SessionAuthenticationException("Maximum number of users exceeded");
        }
        super.onAuthentication(authentication, request, response);
    }
}

然后您将按照 the Spring Security reference manual 中的描述将其注入(inject)安全命名空间.

在 Spring Security 2.0 中，并发 session 控制的实现略有不同，您可以自定义 ConcurrentSessionController。