通常,您不能在不借助容器特定的API的情况下立即更改用户帐户信息而使用户会话无效,因为访问对象的唯一方法
HttpSession是通过
HttpServletRequest对象。
相反,您可以将用户名缓存在内存中,然后在过滤器或custom中查询用户名
AccessDecisionVoter。在用户表中使用标记并不是一个好主意,因为该标记本质上是瞬态的(在服务器重启后不相关),最好避免对每个请求的数据库查询性能造成影响。
有一篇博客文章介绍了如何使用自定义投票者。它已经过时了,但是一般的方法是合理的。
另一种方法是使用Spring Security
SessionRegistry,它是会话管理功能的一部分。通常,这用于限制用户可以拥有的会话数,但也可以用于列出当前经过身份验证的用户或将其会话标记为过期。
只是重新加载用户的特权,而不是完全注销它们,这也是一个想法。
