SpringMvc实现一个账号只能在一个地方登陆,其他地方强制下线

版权声明:本文为博主原创文章,如需转载,请标明出处。 https://blog.csdn.net/alan_liuyue/article/details/82145080

一. 前言

  1.  在处理项目登录问题的时候,为了账号的安全性以及信息的同步性,有时我们需要做到同一个账户只允许在一处地方登录,如果一个账户在一个处地方登录之后,之后在另一个地方也使用同一个账户登录,则前一个登录的账户就强制下线;
  2. 做到这种效果的方式有很多种,比如使用redis、memcache等缓存机制就能轻松实现分布式状态下,控制账户登录的单一性;
  3. 本篇博客主要讲解的是在不用redis等缓存机制的前提下,通过后台的拦截过滤器去实现这种效果;

二. 实现思路 

  1. 创建一个全局的类SessionSave,用来存储对应的每一个账户登录的sessionId;
  2. 在用户登录的时候,根据账户名获取是否已经存储了sessionId,如果存在,则删除原来的那个sessionId,然后重新保存当前的sessionId;如果不存在,则直接保存当前的sessionId;同时将当前的账户信息保存到全局的Session里面;
  3. 在action请求的时候,使用拦截过滤器类获取同步session缓存是否有当前账户,如果没有,则直接跳转到登录界面;
  4. 如果有,则获取SessionSave里面存储的对应账户的sessionId和获取当前的sessionId,用SessionSave获取的sessionId和当前的sessionId做对比,如果相等,则说明账户在同一个地方登录,直接放行action请求;如果不相等,则说明用户已经在另外一个地方登录,当前登录将被强制下线,action请求被拦截,直接跳转回到登录界面;

 三. 实现代码

  • 创建一个全局的SessionSave类,用来存储全局的SessionId静态变量:
public class SessionSave {
	private static Map<String, String> SessionIdSave = new HashMap<String,String>();

	public static Map<String, String> getSessionIdSave() {
		return SessionIdSave;
	}

	public static void setSessionIdSave(Map<String, String> sessionIdSave) {
		SessionIdSave = sessionIdSave;
	}
}
  • 账户登录的时候保存最新的sessionId,同时,将当前的账户信息保存到全局的Session里面:
@ResponseBody
@RequestMapping("login")
public Map<String, Object> login(HttpServletRequest request, String username) {
	//这里忽略其他的登录判断
	log.info("用户名" + username);
	HttpSession session = request.getSession(true);
	User user = userService.getUserMsg(userName);
	// 登录成功,保存当前用户登录的sessionId
	String sessionID = request.getRequestedSessionId();
	String userName = user.getUserName();
	if (!SessionSave.getSessionIdSave().containsKey(userName)) {
		SessionSave.getSessionIdSave().put(userName, sessionID);
	}else if(SessionSave.getSessionIdSave().containsKey(userName)&&!sessionID.equals(SessionSave.getSessionIdSave().get(userName))){
		SessionSave.getSessionIdSave().remove(userName);
		SessionSave.getSessionIdSave().put(userName, sessionID);
	}
	Map<String, Object> map = new HashMap<>();
	session.setAttribute("userMsg", user);
	map.put("result", "success");
}
  • 用户请求action的时候,使用拦截器过滤session中的sessionId:
public class LoginFilter implements Filter {
	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		// TODO Auto-generated method stub
	}

	@SuppressWarnings("deprecation")
	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {

		HttpServletResponse servletResponse = (HttpServletResponse) response;
		HttpServletRequest servletRequest = (HttpServletRequest) request;

		//获取session
		HttpSession session = servletRequest.getSession();

		//获得用户请求的URI
		String path = servletRequest.getRequestURI();
		
		//获取session的用户信息
		User user = (User) session.getAttribute("userMsg");
		
		//如果是登录界面直接放行
		if (path.indexOf("login.do") > -1) {
			chain.doFilter(servletRequest, servletResponse);
			return;
		}

		//如果用户信息为空,表明session已经过期或者已经被清空,则跳转到登陆页面
		if (user == null) {
 			servletResponse.sendRedirect(servletRequest.getContextPath() + "/login.do");
		} else {
			String sessionId = SessionSave.getSessionIdSave().get(user.getUsername());//获取全局类SessionSave保存账户的静态sessionId
			String currentSessionId = session.getId();//获取当前的sessionId
			if (!currentSessionId.equals(sessionId)) {//如果两个sessionId不等,则当前账户强制下线,需要重新登录
				servletResponse.sendRedirect(servletRequest.getContextPath() + "/login.do");
			}else {// 如果是同一账户session则放行请求
				chain.doFilter(servletRequest, servletResponse);
			}
		}
	}

	@Override
	public void destroy() {
		// TODO Auto-generated method stub
	}
}

 四. 总结

  1. 不同的框架的登录方式、拦截方式等会有所不同,但实现的思路基本都是如此;
  2. 本篇博客使用的是java中基础的登录过滤器doFilter拦截,如果项目中有使用shiro等拦截机制的话,拦截过滤会更加方便;
  3. 实践是检验认识真理性的唯一标准,多动手尝试就知道其中的原理了;
展开阅读全文

没有更多推荐了,返回首页