（Spring Securityを介して）Webアプリケーションにログインしているすべてのユーザーのリストを取得する方法

Question

WebアプリケーションでSpring Securityを使用していますが、プログラムにログインしているすべてのユーザーのリストが必要になりました。

どうすればそのリストにアクセスできますか？彼らはすでに春のフレームワーク内のどこかに置いていませんか？ SecurityContextHolderまたはSecurityContextRepository？

dimas · Accepted Answer

ログインしているすべてのユーザーのリストにアクセスするには、BeanにSessionRegistryインスタンスを注入する必要があります。

@Autowired @Qualifier("sessionRegistry") private SessionRegistry sessionRegistry;

そして、injcted SessionRegistryを使用して、すべてのプリンシパルのリストにアクセスできます。

List<Object> principals = sessionRegistry.getAllPrincipals(); List<String> usersNamesList = new ArrayList<String>(); for (Object principal: principals) { if (principal instanceof User) { usersNamesList.add(((User) principal).getUsername()); } }

ただし、セッションレジストリを挿入する前に、spring-security.xmlでセッション管理部分を定義する必要があり（Spring Securityリファレンスドキュメントのセッション管理セクションを参照）、同時実行制御セクションでセッションのエイリアスを設定する必要がありますそれを注入するレジストリオブジェクト（session-registry-alias）.

 <security:http access-denied-page="/error403.jsp" use-expressions="true" auto-config="false"> <security:session-management session-fixation-protection="migrateSession" session-authentication-error-url="/login.jsp?authFailed=true"> <security:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" expired-url="/login.html" session-registry-alias="sessionRegistry"/> </security:session-management> ... </security:http>

Adam · Answer

JavaConfigでは、次のようになります。

@Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(final HttpSecurity http) throws Exception { // ... http.sessionManagement().maximumSessions(1).sessionRegistry(sessionRegistry()); } @Bean public SessionRegistry sessionRegistry() { return new SessionRegistryImpl(); } @Bean public ServletListenerRegistrationBean<HttpSessionEventPublisher> httpSessionEventPublisher() { return new ServletListenerRegistrationBean<HttpSessionEventPublisher>(new HttpSessionEventPublisher()); } }

呼び出しコードは次のようになります。

public class UserController { @Autowired private SessionRegistry sessionRegistry; public void listLoggedInUsers() { final List<Object> allPrincipals = sessionRegistry.getAllPrincipals(); for(final Object principal : allPrincipals) { if(principal instanceof SecurityUser) { final SecurityUser user = (SecurityUser) principal; // Do something with user System.out.println(user); } } } }

SecurityUserはUserDetailsを実装する独自のクラスであることに注意してください。

elysch · Answer

私が間違っている場合は修正してください。

@ Adam's 答えは不完全だと思います。リストにすでに期限切れのセッションが再び表示されていることに気付きました。

public class UserController { @Autowired private SessionRegistry sessionRegistry; public void listLoggedInUsers() { final List<Object> allPrincipals = sessionRegistry.getAllPrincipals(); for (final Object principal : allPrincipals) { if (principal instanceof SecurityUser) { final SecurityUser user = (SecurityUser) principal; List<SessionInformation> activeUserSessions = sessionRegistry.getAllSessions(principal, /* includeExpiredSessions */ false); // Should not return null; if (!activeUserSessions.isEmpty()) { // Do something with user System.out.println(user); } } } } }

それが役に立てば幸い。

rolyanos · Answer

私も間違っているなら私を修正してください。

@Adamと@elyschの答えは不完全だと思います。リスナーを追加する必要があることに気付きました。

 servletContext.addListener(HttpSessionEventPublisher.class);

に

public class AppInitializer implements WebApplicationInitializer { @Override public void onStartup(ServletContext servletContext) { ... servletContext.addListener(HttpSessionEventPublisher.class); }

セキュリティ設定あり：

@Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(final HttpSecurity http) throws Exception { // ... http.sessionManagement().maximumSessions(1).sessionRegistry(sessionRegistry()); } @Bean public SessionRegistry sessionRegistry() { return new SessionRegistryImpl(); } @Bean public HttpSessionEventPublisher httpSessionEventPublisher() { return new HttpSessionEventPublisher(); } }

そして、あなたは現在のオンラインユーザーを獲得します！

k13i · Answer

SessionRegistry（前述のように）を注入する必要があり、次のように1つのパイプラインで実行できます。

public List<UserDetails> findAllLoggedInUsers() { return sessionRegistry.getAllPrincipals() .stream() .filter(principal -> principal instanceof UserDetails) .map(UserDetails.class::cast) .collect(Collectors.toList()); }

cyberdemon · Answer

@rolyanosソリューションと同様に、私のものは常に動作します：

-はコントローラー用

@RequestMapping(value = "/admin") public String admin(Map<String, Object> model) { if(sessionRegistry.getAllPrincipals().size() != 0) { logger.info("ACTIVE USER: " + sessionRegistry.getAllPrincipals().size()); model.put("activeuser", sessionRegistry.getAllPrincipals().size()); } else logger.warn("EMPTY" ); logger.debug(log_msg_a + " access ADMIN page. Access granted." + ANSI_RESET); return "admin"; }

-はフロントエンド

<tr th:each="activeuser, iterStat: ${activeuser}"> <th><b>Active users: </b></th> <td align="center" th:text="${activeuser}"></td> </tr>

-春の打ち抜きの場合

@Bean public SessionRegistry sessionRegistry() { return new SessionRegistryImpl(); } @Bean public ServletListenerRegistrationBean<HttpSessionEventPublisher> httpSessionEventPublisher() { return new ServletListenerRegistrationBean<HttpSessionEventPublisher>(new HttpSessionEventPublisher()); } @Override protected void configure(HttpSecurity http) throws Exception { http.logout() .logoutSuccessUrl("/home") .logoutUrl("/logout") .invalidateHttpSession(true) .deleteCookies("JSESSIONID"); http.authorizeRequests() .antMatchers("/", "/home") .permitAll() .antMatchers("/admin") .hasRole("ADMIN") .anyRequest() .authenticated() .and() .formLogin() .loginPage("/home") .defaultSuccessUrl("/main") .permitAll() .and() .logout() .permitAll(); http.sessionManagement().maximumSessions(1).sessionRegistry(sessionRegistry()); http.authorizeRequests().antMatchers("/webjars/**").permitAll(); http.exceptionHandling().accessDeniedPage("/403"); }

jvleminc · Answer

このメモは非常に重要で関連性があることがわかりました。

「[21]認証後にリダイレクトを実行するメカニズム（フォームログインなど）による認証は、認証要求中にフィルターが呼び出されないため、SessionManagementFilterによって検出されません。セッション管理機能は、これらで個別に処理する必要がありますケース。」

https://docs.spring.io/spring-security/site/docs/3.1.x/reference/session-mgmt.html#d0e4399

また、明らかに多くの人がsessionRegistry.getAllPrincipals（）が空の配列とは異なるものを返すのに問題があります。私の場合、sessionAuthenticationStrategyをカスタムauthenticationFilterに追加して修正しました：

@Bean public CustomUsernamePasswordAuthenticationFilter authenticationFilter() throws Exception { ... authenticationFilter.setSessionAuthenticationStrategy(sessionAuthenticationStrategy()); } @Bean public SessionRegistry sessionRegistry() { return new SessionRegistryImpl(); } //cf. https://stackoverflow.com/questions/32463022/sessionregistry-is-empty-when-i-use-concurrentsessioncontrolauthenticationstrate public SessionAuthenticationStrategy sessionAuthenticationStrategy() { List<SessionAuthenticationStrategy> stratList = new ArrayList<>(); SessionFixationProtectionStrategy concStrat = new SessionFixationProtectionStrategy(); stratList.add(concStrat); RegisterSessionAuthenticationStrategy regStrat = new RegisterSessionAuthenticationStrategy(sessionRegistry()); stratList.add(regStrat); CompositeSessionAuthenticationStrategy compStrat = new CompositeSessionAuthenticationStrategy(stratList); return compStrat; }