怎么保证web网站的单点登录

最新推荐文章于 2024-03-28 10:07:54 发布
最新推荐文章于 2024-03-28 10:07:54 发布
阅读量940 收藏
点赞数
分类专栏: web设计 文章标签: web 单点登录 ServletContext
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h459615016/article/details/51842570
版权

    我们的网站在管理用户登录上一般都需要一个账号只能有一个人登录,那怎么才能实现呢?这里我介绍一种我在项目中使用的方法。用ServletContext实现。

首先我把思路分析一下:

1、用户登录成功以后,将此sessionid保存到ServletContext,在ServletContext中KEY值使用用户名,VALUE值使用当前的sessionid。

2、登录以后用户每次请求时,在拦截器中首先判断session是否过期,如果没有过期判断ServletContext中的sessionid是否是当前的sessionid,如果不是,说明该账号在其他地方登录。


一、用户登录以后将用户信息customerInfo放入SESSION中

    request.getSession(true).setAttribute("customerInfo", customerInfo);


二、将登录成功客户的SESSIONID保存到上下文ServletContext中

因为上下文ServletContext是整个web项目共享的对象,所以每个请求都一个

    String sessionId = session.getId();
    ServletContext servletContext = request.getServletContext();
    servletContext.setAttribute(loginName, sessionId);

三、在拦截器中判断session是否过期,ServletContext的sessionid是否已经被别人更新

        CustomerInfoDto customerInfo = (CustomerInfoDto) session.getAttribute("customerInfo");
        if(customerInfo == null) {
            StringBuffer json = new StringBuffer();
            String requestType =(String) request.getHeader("X-Requested-With");
            if (requestType != null && requestType.equals("XMLHttpRequest")) {
                response.setContentType("application/json;charset=UTF-8");
                json.append("{\"resultCode\":\"1\",\"resultMsg\":\"长时间未操作,请重新登录\"}");                
                PrintWriter pw = response.getWriter();   
                pw.print(json.toString());
                pw.close();
            }else{                
                response.sendRedirect(request.getContextPath() + "/login");
            }
            return false;
        }else{
            ServletContext servletContext = request.getServletContext();
            String loginSessionID = (String) servletContext.getAttribute(customerInfo.getLoginName());
            if(session.getId().equals(loginSessionID)){
                return true;
            }else{
                String requestType =(String) request.getHeader("X-Requested-With");
                if (requestType != null && requestType.equals("XMLHttpRequest")) {
                    response.setContentType("application/json;charset=UTF-8");            
                    PrintWriter pw = response.getWriter();   
                    pw.print("{\"resultCode\":\"1\",\"resultMsg\":\"该账号已在其它地方登录!\"}");
                    pw.close();
                }else{
                    response.sendRedirect(request.getContextPath() + "/login?error=1");
                }
            }
        }


这里有三个知识点需要注意:

1、拦截器在web.xml中的配置?

2、session的获取和存值方式?

3、ServletContext的获取和存值方式?



hum_bug
关注
专栏目录
SAP Cloud Platform 实现 SAP Web IDE 单点登录(ADFS)
翱翔云天
12-06 1606
前言 在SAP Cloud使用企业内的AD作为用户验证的问题是,在SAP中,我们使用S账号进行登录,而这个S账号在企业的AD中并不存在,同样的,企业中的账号在SAP也不存在.于是需要让SAP相信企业的验证,并使用企业的用户账号作为Cloud平台操作的账号. 在 SAP Cloud Platform中,需要为企业的账号授权,这样保证了企业中的账号能够在云平台进行操作.
OAuth2.0实现单点登录
最新发布
GSON的博客
06-11 3530
在一开始的时候,应用服务器(客户端通过访问自己的应用服务器来进而访问其他服务)和验证服务器之间会共享一个 secret,这个东西没有其他人知道,而验证服务器在用户验证完成之后,会返回一个授权码,应用服务器最后将授权码和 secret 一起交给验证服务器进行验证,并且 Token 也是在服务端之间传递,不会直接给到客户端。首先用户访问页面时,会重定向到认证服务器,接着认证服务器给用户一个认证页面,等待用户授权,用户填写信息完成授权后,认证服务器返回 Token。
简单实现web单点登录
01-27
简单实现web单点登录,使用J2EE技术(servlet/jsp/),使用filter拦截请求,cookie保存用户登陆信息
Web 单点登录系统
热门推荐
shanyou的专栏
02-28 1万+
对于企业内部系统来说,CAS系统是一个应用最广的开源单点登陆实现了,其实现模仿Kerberos的一些概念,例如KDC、TGS等等,都是来自于Kerberos。具体可参见 用CAS原理构建单点登录。互联网发展之后,多个网站需要统一认证,业界需要适合互联网的单点登陆技术。2002年,微软提出了passport服务,由微软统一提供帐号和认证服务,理所当然,大家都不愿意受制于微软,但是很认同
网站单点登录实现
tiansan的博客
04-25 751
单点登录在现在的系统架构中广泛存在,他将多个子系统的认证体系打通,实现了一个入口多处使用,而在架构单点登录时,也会遇到一些小问题,在不同的应用环境中可以采用不同的单点登录实现方案来满足需求。我将以我所遇到的应用环境以及在其中所经历的各个阶段与大家分享,若有不足,希望各位不吝赐教。一、共享Session共享Session可谓是实现单点登录最直接、最简单的方式。将用户认证信息保存于Session中,即
如何安全的实现单点登陆
未来工厂的博客
12-13 499
思考问题:如何安全的实现单点登陆? 单点登陆:通常指的是1个用户仅可在1个设备上登陆系统 。这里要排除的情况,PC上虚拟机的使用、移动设备上双开或多开设备的使用。 如何实现? 仅可在1个设备上登录。只需要在设备应用用户第一次登录的时候,系统后台为此用户分配唯一ID标识,便可以实现。用唯一ID标识做系统逻辑,当此用户有再次做登录时,驳回当次登录操作,提示该用户已登录系统并提示其做其它操作(如提示修改密码、允许其它设备此次登录)。 如何确保它是安全的? 唯一ID,与sessionid机制类似,故可确保它的安全性
WEB--单点登录
BtWangZhi的博客
05-17 277
1 同一域名下 2 同父域下的单点登录 摘自
.net版本单点登录与权限管理(web api)
01-29
在.NET框架中,单点登录(Single Sign-On, SSO)和权限管理是构建安全、高效Web应用程序的关键组件。Web API作为一个轻量级的HTTP服务框架,常用于构建RESTful API,它同样需要处理身份验证和授权问题。下面将详细...
.net单点登录与权限管理(web api).rar
05-11
在.NET开发环境中,单点登录(Single Sign-On, SSO)和权限管理是构建Web应用程序时不可或缺的重要组成部分,尤其在企业级系统中更是如此。单点登录允许用户在一个系统中登录后,无需再次验证即可访问其他关联系统,...
springboot整合jwt实现单点登录
qq_35872777的博客
07-06 7931
jwt的结构:
Java Web网站应用中的单点登录
04-21 520
采用SSH架构加以说明: 1.  建立一个登录管理类LoginManager 2.  在LoginManager中定义一个集合,管理登录的用户。 3.  在Spring中将LoginManager配置成单例 4.  如果使用自定义的用户管理类,则为了说明方便,将此类命名为UserContext(表示用户授权的上下文) 5.  如果未使用自定义的用户管理类,则直接使用Session。 6
WEB安全(十六)单点登录的基本实现
jinyangjie的博客
02-18 3345
概述 单点登录(SingleSign-On,SSO)是一种帮助用户快捷访问网络中多个站点的安全通信技术。单点登录系统基于一种安全的通信协议,该协议通过多个系统之间的用户身份信息的交换来实现单点登录。 使用单点登录系统时,用户只需要登录一次,就可以访问多个系统,不需要记忆多个口令密码。单点登录使用户可以快速访问网络,从而提高工作效率,同时也能帮助提高系统的安全性。 单点登录 与 单点登出 类似于Session的思路,需要将服务器生成的SessionId存储在服务器内存中,登录验证通过后,返回SessionId
web 单点登录sso(single sign on)的实现方案:CAS, SAML, OIDC,JWT
u013905744的专栏
12-15 3454
什么是SSO? web登录的本质是什么? 如何增加状态/会话 单个系统的登录 扩展到多个系统,就是SSO 方案1:共享cookie,后台共享session spring session项目就是共享session,共享session放到redis中 Session Cookie要种在Web应用的根域上,也就是说不同Web应用的根域必须相同,否则会有跨域问题。 方案2:共享cookie,后台不共享session 签名的方式来校验 方案3:使用独立的认证中心 CAS(central authen
企业WEB项目单点登陆系统实现
JYplute的博客
06-01 628
概述 在企业WEB项目中,我们的注册登录往往依靠独立的单点登陆系统实现,本博文将从头开始讲解如何一步步创建单点登录系统,独立的工程并发布登录、注册的接口。至于单点登录系统实现用户的登录、注册功能,我们将在下篇博文详细介绍(赶着六一赶紧发一篇????)。 一、单点登录系统分析 1.什么是SSO SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流
Web单点登录和客户/服务器单点登录
awuzi的专栏
05-19 7414
         单点登录(Single Sign-onSSO,),也称单一登录,通常指一个用户在使用多个应用时只需要同一个认证信息(比如:用户名/密码),并且只需要登录一次就可使用所有的应用。单点登录的实质就是安全上下文(Security Context)或凭证(Credential)在多个应用系统之间的传递或共享。        单点登录的分类方法很多,在这里我们按照服务端的实现方式分为:
web安全基础知识之单点登录-SSO几种原理图解(single sign on)
Three_ST的博客
03-08 894
本文是个人学习的记录,系列文章 传统的登录,就是根据用户名,密码,建立session,把session通过cookie发送到请求者的浏览器上,下次在登陆会发送cookie,这样服务器就知道登录了。 SSO:单点登录, 在一个地方登录一次,就可以访问所以的系统 1.cookie(不能跨域 2.session(共享session,在不同是系统,不同架构下的session共享麻烦 3.使用token 利用cookie,在用户登录后,在cookie中写入token,在用户访问其他系统的时候,验证一下token,如
单点登录(SSO)实现详解!!!
abc8002117034的博客
03-28 1609
1、一个系统登录流程:用户进入系统——未登录——跳转登录界面——用户名和密码发送——服务器端验证后,设置一个cookie发送到浏览器,设置一个session存放在服务器——用户再次请求(带上cookie)——服务器验证cookie和session匹配后,就可以进行业务了。2、多个系统登录:如果一个大公司有很多系统,a.seafile.com, b.seafile.com,c.seafile.com。这些系统都需要登录,如果用户在不同系统间登录需要多次输入密码,用户体验很不好。
单用户登陆限制(单点登录??)
weixin_30398227的博客
08-16 1027
思路: 1、用户登陆 --> 检查当前用户Id 在(UserOnline)中是否处于活动状态   如果不处于活动状态则:记录下当前用户的Sessionid 、用户Id 、LastTime (UserOnline)   如果处于活动状态 :提示该用户已登陆,禁止二次登陆。 2、保持通信 --> 用户登录成功后,在主界面 进行不断回掉(每隔2秒与服务器进行一次通信) 保持用...
单点登录系统原理与实现
m0_37911384的博客
10-17 436
一、单系统登录机制 1、http无状态协议 web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系。 但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,必须鉴别浏览器请...
Web SSO深入理解:CAS单点登录机制解析
"CAS单点登录讲义" SSO(Single Sign-On)是一种允许用户通过一次...CAS通过其独特的架构和协议,实现了Web应用之间的单点登录,简化了用户认证流程,同时也保证了安全性,成为许多组织和企业构建SSO解决方案的首选。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值