使用httpsessionlistener实现禁止账号多点登录功能

最新推荐文章于 2023-10-14 22:09:35 发布
最新推荐文章于 2023-10-14 22:09:35 发布
阅读量2k 收藏 7
点赞数 2
分类专栏: Java 文章标签: HTTP HttpSessionListener 多点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joshho/article/details/79146867
版权

有时候我们想禁止一个账号在多个地方登录,以防止账号被滥用的情况,那么如果实现这种效果呢?一般有两种实现效果,一种是如果账号已登录,则后续不能再登录,除非此账号已超时或注销登录;第二种是在登录时提示该账号已在其他地方登录,是否继续登录。

第一种实现不太友好,如果这个账号一直不退出,则其他人一直无法登录,下面展示第2种的实现方式。

– 实现原理:

通过实现HttpSessionListener的HttpSessionAttributeListener接口和HttpSessionAttributeListener的attributeAdded接口来更新在线用户列表,然后登录时检查此在线用户列表,如果列表中有当前登录用户则提示“该账号已在其他地方登录,是否继续”。

实现逻辑:

  1. 通过监听器维护一个在线用户列表容器,容器存放用户的LoginName, HttpSession键值对。

  2. 通过实现HttpSessionAttributeListener的attributeAdded接口来更新在线用户列表,只要向Session中添加属性便会调用此方法。
    一般在登录时会向Session中存放一个用户信息,在attributeAdded中判断如果存放到session中的属性为用户登录的属性名,则将该session放入在线用户列表容器中。
    此处不使用HttpSessionListener的sessionCreated的原因是,浏览器打开时会产生一个session,但是当用户登录时如果创建session不加true参数不会产生一个新的session,此时不关闭浏览器,注销当前用户再登录下一个用户,不会产生一个新的session,因为这时不会调用sessionCreated方法。此处和用户的登录代码有一定关系。

  3. 通过sessionDestroyed方法实现在线用户列表的移除,即当用户注销或者session超时便会调用此方法。

  4. 编写检查登录账号是否已经在在线用户列表容器中的接口,注意此处要先验证账号密码是否正确,如果账号密码不正确则继续走接下去的登录逻辑,不提示账号密码错误,因为此处验证账号密码只是做为是否提示账号在他处登录的条件。

  5. 在前端登录时调用判断账号是否可以多点登录的接口。

PS:此代码为单机版实现,如果为集群环境,请将在线用户列表放入Redis或其他地方进行维护。

1、编写在线用户列表容器类

package com.gsafety.iams.listener;

import java.util.Hashtable;
import java.util.Map;

import javax.servlet.http.HttpSession;

public class OnlineUserList {
	
	private static Map<String, HttpSession> onlineUsers =  new Hashtable<String, HttpSession>();

	private OnlineUserList() {
		super();
	}

	public static synchronized void put(String loginName, HttpSession session) {
		onlineUsers.put(loginName, session);
	}
	
	public static synchronized HttpSession get(String loginName) {
		return onlineUsers.get(loginName);
	}
	
	public static synchronized boolean containsKey(String loginName) {
		return onlineUsers.containsKey(loginName);
	}
	
	public static synchronized void remove(String loginName) {
		onlineUsers.remove(loginName);
	}
}

2.、 实现HttpSessionListener和HttpSessionAttributeListener

package com.gsafety.iams.listener;

import javax.servlet.http.HttpSession;
import javax.servlet.http.HttpSessionAttributeListener;
import javax.servlet.http.HttpSessionBindingEvent;
import javax.servlet.http.HttpSessionEvent;
import javax.servlet.http.HttpSessionListener;

import org.apache.log4j.Logger;

import com.gsafety.cloudframework.config.po.Configuration;
import com.gsafety.cloudframework.config.util.ConfigCacheUtil;
import com.gsafety.cloudframework.runtime.vo.SessionBean;

public class UserLoginSessionListener implements HttpSessionListener, HttpSessionAttributeListener {

	private static final Logger LOG = Logger.getLogger(UserLoginSessionListener.class);
	private static final String SESSION_BEAN = "session_bean";
	
	
	@Override
	public void sessionCreated(HttpSessionEvent e) {
	}

	@Override
	public void sessionDestroyed(HttpSessionEvent e) {
		HttpSession session = e.getSession();
		String loginName = getLoginName(session);
		OnlineUserList.remove(loginName);
		LOG.info(String.format("【%s】已注销..", loginName));
	}

	private String getLoginName(HttpSession session) {
		SessionBean sessionBean = (SessionBean) session.getAttribute("session_bean");
		if (sessionBean == null)
			return null;
		return sessionBean.getUser().getLoginName();
	}

	/**
	 * 通过session属性的变化来判断用户是否已在其他地方登录
	 */
	@Override
	public void attributeAdded(HttpSessionBindingEvent e) {
		String attrName = e.getName();
		if (SESSION_BEAN.equals(attrName)) {
			HttpSession session = e.getSession();
			String loginName = getLoginName(session);
			
			//限制多点登录,并且用户已在其他设备登录
			if (OnlineUserList.containsKey(loginName) && isSessionLimit()) {
				HttpSession ss = OnlineUserList.get(loginName);
				//将session置为失效
				ss.invalidate();
			}
			
			OnlineUserList.put(loginName, session);
			LOG.info(String.format("登录成功,用户:【%s】", loginName));
		}
	}
	
	private boolean isSessionLimit() {
		Boolean sessionLimit = false;	
		Configuration config = ConfigCacheUtil.getConf("system.session.limit");	
		if (config != null) {
			sessionLimit = Boolean.valueOf(config.getValue());
		}
		return sessionLimit;
	}

	@Override
	public void attributeRemoved(HttpSessionBindingEvent e) {
	}

	@Override
	public void attributeReplaced(HttpSessionBindingEvent e) {
	}
	
}

3、 编写action

package com.gsafety.iams.actions;

import org.apache.commons.lang.StringUtils;
import org.apache.struts2.convention.annotation.Namespace;
import org.apache.struts2.convention.annotation.ParentPackage;
import org.apache.struts2.convention.annotation.Result;
import org.apache.struts2.convention.annotation.Results;

import com.gsafety.cloudframework.common.base.util.ActionUtil;
import com.gsafety.cloudframework.common.base.util.encrypt.DESCoder;
import com.gsafety.cloudframework.common.base.util.encrypt.MD5Digester;
import com.gsafety.cloudframework.config.po.Configuration;
import com.gsafety.cloudframework.config.util.ConfigCacheUtil;
import com.gsafety.cloudframework.user.facade.EmsUserFacade;
import com.gsafety.cloudframework.user.po.EmsUser;
import com.gsafety.iams.listener.OnlineUserList;
import com.opensymphony.xwork2.ActionSupport;

@ParentPackage("json-default")
@Namespace("/sys/user")
@Results(value = { @Result(name = "checkCanMultiLogin", type = "json", params= {"root", "canMultiLogin"}) })
public class LoginControlAction extends ActionSupport {

	private static final long serialVersionUID = 1L;
	
	private String loginName;	//账号
	private String password;	//密码
	
	private boolean canMultiLogin;
	
	/**
	 * 是否允许多处登录
	 * @return
	 */
	public String checkCanMultiLogin() {
		canMultiLogin = true;		//默认为允许
		if (checkUserPassword()) {
			//已存在登录用户,并且系统禁止多点登录
			if (OnlineUserList.containsKey(loginName) && isSessionLimit()) {
				canMultiLogin = false;;
			}
		}
		return "checkCanMultiLogin";
	}
	
	/**
	 * 是否禁止session登录,从配置中读取。
	 * @return
	 */
	private boolean isSessionLimit() {
		Boolean sessionLimit = false;	
		//此处从配置中读取是否控制多点登录,true为控制,false不控制
		//......代码省略,自己实现
		return sessionLimit;
	}
	
	/**
	 * 验证用户账号密码
	 * @return
	 */
	private boolean checkUserPassword() {
		//验证账号密码是否正确,代码省略
		//......
		return false;
	}


	public String getLoginName() {
		return loginName;
	}

	public void setLoginName(String loginName) {
		this.loginName = loginName;
	}

	public String getPassword() {
		return password;
	}

	public void setPassword(String password) {
		this.password = password;
	}

	public boolean isCanMultiLogin() {
		return canMultiLogin;
	}

	public void setCanMultiLogin(boolean canMultiLogin) {
		this.canMultiLogin = canMultiLogin;
	}


	
	
}

4、 在web.xml中配置监听器

  <listener>
  	<listener-class>com.gsafety.iams.listener.UserLoginSessionListener</listener-class>
  </listener>

5、 修改前端登录,下面是JS调用Action判断是否允许多点登录的方法

function checkCanMultiLogin(loginName, finalPass) {
				var canMultiLogin = false;
				jQuery.ajax({
						type: "POST",
						url: "${base}/sys/user/login-control!checkCanMultiLogin.do",
						data: {'loginName':loginName,'password':finalPass},
						async: false, 
						success: function(data) {
							canMultiLogin = data;
						}
				});
				return canMultiLogin;
			}

6.、在登录之前添加如下判断

//检查是否允许多点同时登录
				var canMultiLogin = checkCanMultiLogin(loginName, finalPass);
				if (!canMultiLogin || canMultiLogin == 'false') {
					if(!confirm("当前账号已在其他地方登录,是否继续")) {
						return false;
					}
				}
江城老金
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 在Jetty9中使用HttpSessionListener和Filter
08-30
Java 在 Jetty9 中使用 HttpSessionListener 和 Filter Java 在 Jetty9 中使用 HttpSessionListener 和 Filter 是一种常见的技术,用于监听和过滤 HTTP 请求。在这篇文章中,我们将详细介绍如何在 Jetty9 中使用 ...
java代码防止用户多处登录_java – 使用相同的用户名和密码防止多次登录
weixin_35615322的博客
02-25 770
If user close the browser without logout.特别是这种情况很难,不可靠.您可以在Javascript中使用beforeunload事件,但您完全依赖浏览器是否启用了JS,特定浏览器支持此非标准事件(例如Opera不支持).这也是我建议只是注销以前登录的用户而不是防止登录的主要原因之一.对于用户“忘记”从其他计算机注销的情况,这也更加用户友好和安全.public...
vue 多页面登录同一账户
dgq1989101的博客
07-06 2130
相同浏览器只允许登录一个账号的需求相信是很多前端小伙伴的面临过或者将要面临的问题,看似没有什么大问题的问题,其实有点东西的。。。。这里介绍一下我尝试多种办法之后得出的一个最优的解决办法 1.情况一,当窗口一登录了admin账号,再去复制项目里面的地址用窗口二打开 注意这里是项目里面的地址,有点东西的地方在于登录地址,下面再介绍,且看: 窗口二打开任意一个项目里面的地址我们要的效果都是可以直接访问的(各大bat的产品也是这样的效果,毋庸置疑)。那么我们是怎么做到当窗口一登录了之后,其他窗口可以访问项目里面
若依项目如何实现一个账户只能一个人登录(即,限制账户不允许多终端登录
weixin_46119090的博客
03-25 4107
1、application.yml新增一个配置soloLogin用于限制多终端同时登录。 2、Constants.java新增一个常量LOGIN_USERID_KEY公用。 3、调整TokenService.java,存储&刷新缓存用户编号信息。 4、自定义退出处理类LogoutSuccessHandlerImpl.java清除缓存方法添加用户编号。 5、登录方法SysLoginService.java,验证如果用户不允许多终端同时登录,清除缓存信息。
【2022】node实现一个账号同时只能登录一个客户端
AnaTar的博客
06-01 1052
nodejs解决一个账号禁止多个客户端登录【2022】
springboot+security+jwt+mysql 动态权限 利用拦截器+token实现一个账号不能多人同时登陆...
weixin_43828003的博客
12-26 217
项目路径: https://gitee.com/huatao1994/springbootSecurityJwtToken ...
让同一账号不能多次登录 两种方式
hepeng_8的专栏
04-17 1048
A: 可以再数据库里面的一个字段里面保存登录时候的session,在新用户登录的时候更新保存的session 在用户操作的时候验证session书不是和自己登录的sessuin相同,不相同的话则销毁当前的session B: 1 登录时,生成一个唯一的标识,然后和用户名关联。 标识保存到session或者cookie里面,用于下次访问。 2 下次访问时,判断标识与用户名关联的是否一样,...
JavaWeb实现同一帐号同一时间只能一个地点登陆(类似QQ登录功能
09-01
在JavaWeb开发中,实现同一账号同一时间只能在一个地点登录功能,主要目的是为了增强系统的安全性,防止用户账户被他人恶意登录或同时在多个设备上使用,例如在在线考试系统、即时通讯应用等场景中尤为关键。...
Java 多用户登录限制的实现方法
09-01
在Spring框架中,可以通过实现`HttpSessionListener`或`HttpSessionAttributeListener`来实现这一功能。 总之,实现Java多用户登录限制主要涉及会话管理、全局状态的维护以及登录状态的检查。通过合理的设计和代码...
Java Web开发防止多用户重复登录的完美解决方案
09-01
在Java Web开发中,防止多用户重复登录是一个重要...总之,通过在`application`作用域中管理登录信息并结合`session`监听器,可以有效地实现Java Web应用程序中防止多用户重复登录功能,提高系统的安全性和用户体验。
HttpSessionListener监听session的创建及销毁,实现在线用户统计
12-26
用户登录时,调用LoginServlet,将用户名写入application的在线用户列表中,用户退出时,调用LogoutServlet,调用session.invalidate(),交给HttpSessionListener的sessionDestroyed()方法,将用户从在线列表中删除。 同理,session过期时,亦会调用session.invalidate(),交给HttpSessionListener的sessionDestroyed()方法,将用户从在线列表中删除
Web单点登录 禁止多用户登录
06-27
Web单点登录,同一账号同一时间只有一个在线,禁止多用户登录,异地登录后强制退出
HttpSessionListener 和HttpSessionBindingListener的区别 单点登录
02-01
HttpSessionListener 和HttpSessionBindingListener的区别 HttpSessionBindingListener单点登录
uniapp封装request函数 实现唯一登录,一个账号同时只能登陆一个设备
wh20141212的博客
04-03 2956
今天有空 ,所以又来总结自己的工作啦~ 今天写如何封装request请求并且 在每个请求这里通过设置token实现唯一登录的问题,一个账号同一时间只能登陆一个账号 先上封装的request代码啦~~~ 这个是借鉴网上的资料写的 我会把博主的链接放在本文最后,感兴趣的可以去看下啦 1.在项目根目录下建一个common 文件 然后写http.js ,如下图 2.然后在main.js文件中引入 i...
jfinal+H5的websocket 实现同一账户在不同地点不同电脑只能登陆一个(互相踢下线)
05-12 4435
公司项目需求,因为项目是开账户卖钱的,为了避免有的用户开一个账户N个人用,所以要求A账户只能在一个地点登录,别人如果使用A账户在别的电脑或者地点登录后就会吧上一个人给踢下线,当然也可以让后一个登录的人登录不了,这都是看你逻辑怎么控制的。 效果类似是qq登录的效果,先来张实现后的图 具体实现: 分两步, 第一步使用 HttpSessionAttributeListene
阻止多端登录的一点解决思路
weixin_62395763的博客
05-18 894
首先呢,每次登录后端都生成一个token给前端,每次登录的token都不同,但是登录账号又是相同的。此时想到了用redis来记录登录token,当token不一样了,就覆盖token,这样原本的token就不在redis管理中了,自然就无法在保持登录状态了。
HttpSessionListener实现类的sessionDestroyed方法中调用Service
mail181391907的博客
12-23 3365
HttpSessionListener实现类OnlineListener 用来监听用户上线与下线。有两个方法sessionCreated 和 sessionDestroyed 。用户第一次登录网址时将执行sessionCreated 创建一个session。当用户关闭浏览器时。将执行sessionDestroyed 处理一些用户下线的相关操作。 OnlineListener 中注入一个userS
spring session 导致 HttpSessionListener 失效
最新发布
程序人生
10-14 1197
spring session 导致 HttpSessionListener 失效
springboot之HttpSessionListener的用法创建,销毁
热门推荐
健康平安的活着的专栏
08-19 1万+
一.HttpSessionListener的作用 这个接口也只包含两个方法,分别对应于Session的创建和失效: # public void sessionCreated(HttpSessionEvent se);# public void sessionDestroyed(HttpSessionEvent se); 二.HttpSessionListener的触发机制 当一个浏览器第一次访问网站的时候,J2EE应用服务器会新建一个HttpSession对象 ,并触发 HttpSession创建事件
java使用session实现登录
07-28
在Java中,可以使用session来实现登录功能。通过session,可以在用户登录后将用户信息保存在服务器端,以便在用户的后续请求中进行验证和识别。 首先,在用户登录成功后,可以将用户信息存储在session中。可以使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值