使用Spring Security的會話管理：併發會話

Question

我開發了一個使用spring安全性的web應用程序。對於登錄，它從LDAP訪問。現在我想用彈簧安全本身管理會話，我可以通過使用authentication.getName()來獲得username，我也可以獲得sessionID。

現在我想確定，如果同一用戶試圖使用其他瀏覽器從同一系統登錄，他應該會收到一條消息，說他已經登錄了他的帳戶。

任何人都可以提供一個想法如何實現這？

<security:session-management 
     invalid-session-url="/login.jsp?error=sessionExpired" 
     session-authentication-error-url="/login.jsp?error=alreadyLogin"> 
    <security:concurrency-control 
       max-sessions="1" 
       expired-url="/login.jsp?error=sessionExpiredDuplicateLogin" 
       error-if-maximum-exceeded="false" /> 
</security:session-management> 

當我使用這一點，並嘗試使用一些其他的瀏覽器，它給了我下面的錯誤登錄：

HTTP Status 500 - Request processing failed; nested exception is java.lang.IllegalStateException: Cannot call sendError() after the response has been committed 
enter code here 

Answer 1

我可能失去了一些東西，但我已盡力了一個配置，它可以作爲預計：

<!-- more configuration stuff --> 

<sec:form-login login-page="/login.jsp" 
    default-target-url="/defaultTarget.jsp" 
    authentication-failure-url="/login.jsp?error=true" 
    login-processing-url="/login" always-use-default-target="true" /> 

<sec:session-management> 
    <sec:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" /> 
</sec:session-management> 

當我嘗試使用其他瀏覽器相同的用戶登錄，它需要我/login.jsp並顯示錯誤信息：Maximum sessions of 1 for this principal exceeded

編輯：你也需要把這個在您的web.xml

<listener> 
    <listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class> 
</listener>