Spring Security会话控制（单用户登录）

在项目开发过程中很难避免说单用户登录系统，或者说对登录会话进行限制，例如说，只能两台机器登录用户

那么话不多说，直接看配置代码：

XML配置

如果你想限制单个用户访问你的应用程序的能力。Spring Security通过后面简单的配置马上启用。首先你需要添加后面的监听器到你的web.xml文件。让Spring Security获得session的生存事件：

<listener>
<listener-class>
org.springframework.security.web.session.HttpSessionEventPublisher
</listener-class>
</listener>

然后添加后面的行到你的应用程序上下文：

<http>
<session-management>
<concurrency-control max-sessions="1" />
</session-management>
</http>

这将放置用户登录多次。第二次登录将导致第一次登录变成无效。通常我们更想放置第二次登录，在这种情况下，你可以使用：

<http>
<session-management>
<concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
</session-management>
</http>

第二次登录将被拒绝，如果基于表单的验证被启用这个用户将会被发送到 authentication-failure-url。如果第二次登录是通过其他非交互的机制，比如“记住我”功能，进行登录的。那么一个“unauthorized”(401)错误将会被发送给客户端。如果你想替换成一个错误页面，你可以为session-management添加一个session-authentication-error-url属性。

JAVA配置

@Override
protected void configure(HttpSecurity http) throws Exception {
//单用户登录，如果有一个登录登录了，第二个用户未注销不能登录
http.sessionManagement().maximumSessions(1).maxSessionsPreventsLogin(true).expiredUrl("error.jsp");
//退出删除cookie
http.logout().deleteCookies("JESSIONID");
super.configure(http);
}