我在Web应用程序中使用Spring Security,现在我想获得一个已登录程序的所有用户的列表。
我如何访问该列表?他们不是已经在Spring框架中保留了什么吗?像SecurityContextHolder或SecurityContextRepository吗?
要访问所有已登录用户的列表,需要将SessionRegistry实例注入到bean中。
@Autowired @Qualifier(“sessionRegistry”) private SessionRegistry sessionRegistry; 然后使用注入的SessionRegistry你可以访问所有主体的列表:
List<Object> principals = sessionRegistry.getAllPrincipals(); List<String> usersNamesList = new ArrayList<String>(); for (Object principal: principals) { if (principal instanceof User) { usersNamesList.add(((User) principal).getUsername()); } }
但是在注入会话注册表之前,你需要在spring-security.xml中定义会话管理部分(请参阅Spring Security参考文档中的“ 会话管理”部分),并在并发控制部分中,应为会话注册表对象设置别名(session-registry-别名),你将通过它注入。
<security:http access-denied-page="/error403.jsp" use-expressions="true" auto-config="false"> <security:session-management session-fixation-protection="migrateSession" session-authentication-error-url="/login.jsp?authFailed=true"> <security:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" expired-url="/login.html" session-registry-alias="sessionRegistry"/> </security:session-management> ... </security:http>