Spring Security. Исключение не активных пользователей Principals Session?

Question

[Евгений Краснов]

Приветствую уважаемые форумчане.

Скажите пожалуйста, вот я получаю всех активных пользователей на данный момент

import org.springframework.security.core.userdetails.User;

@Service
public class ActiveUserService {

    @Autowired
    SessionRegistry sessionRegistry;


    public List<String > getAllActiveUser(){


        List<Object> principals = sessionRegistry.getAllPrincipals();
        User[] users = (User[]) principals.toArray(new User[0]);

        return Arrays.stream(users).filter(user -> !sessionRegistry.getAllSessions(user, false)
                .isEmpty()).map(User::getUsername).collect(Collectors.toList());

    }

}

но, если пользователь покинул сессию, то есть вышел, то система всё ровно показывает его как активным.

Как сделать так, что бы при выходе, система переставала показывала его как активным?

https://github.com/romanych2021/TestSession

Answer 1

[Евгений Краснов]

Для того чтобы решить данную задачу, мне понадобилось создать всего лишь один класс.

package com.testsession.service;

import org.springframework.security.web.session.HttpSessionEventPublisher;
import org.springframework.web.WebApplicationInitializer;

import javax.servlet.ServletContext;

public class MyWebAppInitializer implements WebApplicationInitializer {

    @Override
    public void onStartup(ServletContext container) {
        container.addListener(new HttpSessionEventPublisher());
    }
}

Answer 2

[Dmitry Roo]

У spring тайм-аут сессии по умолчанию - 30 минут.
Моя гипотеза - вы просто 30 минут не дождались.
Лучший способ удостовериться, что пользователь вышел: сделать кнопку "выйти" по которой будут чиститься данные сессии.

Comments

[Евгений Краснов]

Кнопка "/logout" имеется

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()


                .mvcMatchers("/").permitAll()
                .mvcMatchers("/login").anonymous()
                .mvcMatchers("/user", "/allUser").hasAnyRole("ADMIN", "USER")
                .anyRequest().authenticated()

                .and()
                .formLogin()
                .loginPage("/login")
                .loginProcessingUrl("/login")

                .defaultSuccessUrl("/")

                .and().csrf().disable()

                .logout()
                .permitAll()
                .logoutUrl("/logout")
                .logoutSuccessUrl("/")

                .invalidateHttpSession(true)
                .deleteCookies("JSESSIONID")

                .and().sessionManagement()
                .maximumSessions(1)
                .expiredUrl("/login")
                .sessionRegistry(sessionRegistry);

    }

<form method="post" action="/logout">
    <button type="submit">Exit</button>
</form>

[Dmitry Roo]

Евгений Краснов, после нажатия на кнопку Exit система всё ровно показывает его как активным ?

[Евгений Краснов]

Dmitry Roo, Да, он выходит, потому что чтобы попасть на страницу, надо заново аутентифицироваться, то есть, входить путём ввода логина и пароля.

Когда выхожу, проверяю активных пользователей, показывает по прежнему два активных пользователя, а по идее должен один пользователь. У меня для теста два пользователя.

[Евгений Краснов]

Кто ни будь может помочь?