一个帐号，同时多处登陆的问题(apache security)

阅读更多

找到的相关资料


急答:一个帐号，同时多处登陆的问题(apache security)

http://www.blogjava.net/beyondwcm/archive/2009/05/08/269545.html

定制的Spring Security(Acegi)的并发会话过滤器（ConcurrentSessionFilter）的编码过程


springsecurity扩展自定义会话管理(一)控制用户重复登陆

springsecurity有控制单账号只能在一个地方登陆的功能，后登陆用户将踢掉前登陆用户；或者限制账号重复登陆，一个账号没有退出，另外一个人想用这个账号就登陆不上

主要涉及的类如下（我自己的山寨理解）：
HttpSessionEventPublisher             监听session创建和销毁
ConcurrentSessionFilter                  每次有http请求时校验，看你当前的session是否是过期的
SessionRegistryImpl                       存放session中的信息，并做处理
ConcurrentSessionControllerImpl     用户登入登出的控制
SessionInformation       存储session中信息的model

先实现springsecurity文档上的，限制用户重复登陆，后登陆用户将前登陆用户冲掉 ，只需要在xml中配置如下：
session-controller-ref="currentController" />






  
   
         class="org.springframework.security.ui.rememberme.TokenBasedRememberMeServices">
    
    
   
  



class="org.springframework.security.concurrent.ConcurrentSessionControllerImpl">







其中web.xml还需要添加：


org.springframework.security.ui.session.HttpSessionEventPublisher




随着业务的发展，公司部署的网站越来越多，有必要整合多个网站，采用统一的用户验证。目前想到的解决方案，主要有以下几种.
1.sso解决方案，部署独立的用户验证系统，利用cookie的保存登录ticket的基本思路，网上有很多种解决方案，有的过于复杂，需要配置很多东西，有的过于局限，只支持单一的语言。不知道各位有哪些比较好的解决方案，适合项目不是太多，配置不是太烦，支持多中语言，例如java和php等。
2.开放api，oauth验证方式，不仅适合对内项目，而且可以对外验证。感觉好像很好的，而且我们iteye论坛也有ROP等实现方式，自我感觉这种方式比较很不错.
3.统一的验证窗口，所有的登录都提交到统一的登录窗口，由其负责处理。实现最简单，不过，需要同一级域名。
不知，各位大牛们有什么比较好的意见？

个人感觉第一种比较不错，你可以采用单点登录在做到这点，一台服务器只作为验证服务器，随着项目的增多，每个项目的验证都可以使用这台验证服务器做单点登录，这也需要一个相同的登录界面，和第三种方案比较类似，不过需要注意的是，单点登录是可以跨域的（跨根域）
  对于你的第三种方案，只要js比较牛的话，应该也是可以的，淘宝的不就是这样做的吗 ？


sso一般有两种实现，基于agent和proxy。

CAS是基于agent的


XMPP 简单研究