使用session监听+spring MVC拦截器禁止用户重复登录

最新推荐文章于 2021-08-05 09:57:25 发布
最新推荐文章于 2021-08-05 09:57:25 发布
阅读量2.3w 收藏 30
点赞数 14
分类专栏: 系统安全 web开发 文章标签: java web禁止重复登录 session监听 Spring MVC拦截器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jrn1012/article/details/25781319
版权

        在许多web项目中,需要禁止用户重复登录。一般来说有两种做法:

         一是在用户表中维护一个字段isOnLine(是否在线),用户登录时,设定值为true,用户退出时设定为false,在重复登录时,检索到该字段为true时,禁止用户登录。这种方法有明显的漏洞,及用户在非正常情况退出(关闭浏览器、关机等)是,该字段值一直为true,会导致用户无法登录。

          而另一种比较通用的做法是使用session监听,重复登录后,强制之前登录的session过期,从而踢出了该用户。具体做法是:使用监听器维护服务器上缓存的sessionMap,该map是以<session.getId(),session>的键值对,在登录后,使用userid替换session.getId(),从而使得sessionMap中维护的是<userid, session>的键值对。后续该帐号重复登录时,检索到已有该帐号session则强制它过期。

  

1、web.xml中配置session监听

<listener>
	    <listener-class>com.cnpc.framework.listener.SessionListener</listener-class>		
</listener>

2、session监听SessionListener类 

package com.cnpc.framework.listener;

import javax.servlet.http.HttpSessionEvent;
import javax.servlet.http.HttpSessionListener;

import com.cnpc.framework.utils.SessionContext;

public class SessionListener implements HttpSessionListener {
    public  static SessionContext sessionContext=SessionContext.getInstance();
 
    public void sessionCreated(HttpSessionEvent httpSessionEvent) {
    	sessionContext.AddSession(httpSessionEvent.getSession());
    }

    public void sessionDestroyed(HttpSessionEvent httpSessionEvent) {
        sessionContext.DelSession(httpSessionEvent.getSession());
    }
}
SessionContex类(使用单例模式) 

package com.cnpc.framework.utils;

import java.util.HashMap;

import javax.servlet.http.HttpSession;


public class SessionContext {
    private static SessionContext instance;
    private HashMap<String,HttpSession> sessionMap;
 
    private SessionContext() {
    	sessionMap = new HashMap<String,HttpSession>();
    }

    public static SessionContext getInstance() {
        if (instance == null) {
            instance = new SessionContext();
        }
        return instance;
    }

    public synchronized void AddSession(HttpSession session) {
        if (session != null) {
        	sessionMap.put(session.getId(), session);
        }
    }

    public synchronized void DelSession(HttpSession session) {
        if (session != null) {
        	sessionMap.remove(session.getId());
            if(session.getAttribute("userid")!=null){
            	sessionMap.remove(session.getAttribute("userid").toString());
            	//session.invalidate(); 
            }
        }
    }

    public synchronized HttpSession getSession(String session_id) {
        if (session_id == null) return null;
        return (HttpSession) sessionMap.get(session_id);
    }

	public HashMap getSessionMap() {
		return sessionMap;
	}

	public void setMymap(HashMap sessionMap) {
		this.sessionMap = sessionMap;
	}

}

3、用户登录成功后,更新session Map,如重复登录,强制之前session过期

public void sessionHandlerByCacheMap(HttpSession session){
		String userid=session.getAttribute("userid").toString();
		if(SessionListener.sessionContext.getSessionMap().get(userid)!=null){
			HttpSession userSession=(HttpSession)SessionListener.sessionContext.getSessionMap().get(userid);
			//注销在线用户
			userSession.invalidate();			
			SessionListener.sessionContext.getSessionMap().remove(userid);
			//清除在线用户后,更新map,替换map sessionid
			SessionListener.sessionContext.getSessionMap().remove(session.getId());	
			SessionListener.sessionContext.getSessionMap().put(userid,session);	
		}
		else
		{
			// 根据当前sessionid 取session对象。 更新map key=用户名 value=session对象 删除map
           		SessionListener.sessionContext.getSessionMap().get(session.getId());
			SessionListener.sessionContext.getSessionMap().put(userid,SessionListener.sessionContext.getSessionMap().get(session.getId()));
			SessionListener.sessionContext.getSessionMap().remove(session.getId());
		}
	}

4、spring MVC拦截器校验session是否过期,如果过期,给出提示,并跳转到登录界面。

    拦截器配置 

web.xml配置

      <init-param>
            <description>Spring MVC配置文件</description>
            <param-name>contextConfigLocation</param-name>
            <param-value>classpath:controller.xml</param-value>
        </init-param>
controller.xml配置 

<mvc:interceptors>   
    	<bean class="com.cnpc.framework.interceptor.AuthInterceptor" />  
    </mvc:interceptors>

拦截器authInterceptor 

package com.cnpc.framework.interceptor;

import java.io.PrintWriter;
import java.util.Map;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.stereotype.Component;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.cnpc.framework.common.SessionContainer;

@Component("SpringMVCInterceptor")
public class AuthInterceptor extends HandlerInterceptorAdapter {	
	
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
		request.setCharacterEncoding("UTF-8");
		response.setCharacterEncoding("UTF-8"); 
		response.setContentType("text/html;charset=UTF-8");
 
		//过滤登录、退出访问
		String[] noFilters = new String[] { "/auth/login", "/auth/logout" };
		String uri = request.getRequestURI();

		boolean beFilter = true;
		for (String s : noFilters) {
			if (uri.indexOf(s) != -1) {
				beFilter = false;
				break;
			}
		}
		SessionContainer sessionContainer = (SessionContainer) request.getSession().getAttribute("SessionContainer");
		if (beFilter) {
			if (null == sessionContainer) {
				//ajax方式交互
				if (request.getHeader("x-requested-with") != null
						&& request.getHeader("x-requested-with").equalsIgnoreCase("XMLHttpRequest"))// 如果是ajax请求响应头会有,x-requested-with;
				{					
					response.setHeader("sessionstatus", "timeout");// 在响应头设置session状态
					return false;
				}
				// 未登录
				PrintWriter out = response.getWriter();
				StringBuilder builder = new StringBuilder();
				builder.append("<script type=\"text/javascript\" charset=\"UTF-8\">");
				builder.append("alert(\"页面过期,请重新登录\");");
				builder.append("window.top.location.href='/auth/logout';");
				builder.append("</script>");
				out.print(builder.toString());
				out.close();
				return false;
			} else { 					
				// 添加系统日志
				// -----------------------------------
				// -----------------------------------
			}
		}
		Map paramsMap = request.getParameterMap();
		return super.preHandle(request, response, handler);
	}
}

以上Sprring MVC拦截器在同服务器以ajax方式交互时,前台需做如下相应处理: 

//控制ajax请求,session超时处理页面跳转
 $.ajaxSetup({   
       contentType:"application/x-www-form-urlencoded;charset=utf-8",   
	   complete:function(XMLHttpRequest,textStatus){   
	         var sessionstatus=XMLHttpRequest.getResponseHeader("sessionstatus"); // 通过XMLHttpRequest取得响应头,sessionstatus,
	           if(sessionstatus=="timeout"){   
	                 // 如果超时就处理 ,指定要跳转的页面	
	        	     alert("页面过期,请重新登录"); 
	                 window.top.location.href="/auth/logout";
	                }  
	              }     
	           } 
	      );

           以上方式完成了禁止用户重复登录的功能,并将踢出之前登录的帐号,这在不同的浏览器中使用没有问题。但是因为在同一个浏览器中,多个标签页(Tab页)是共享session的,在同一个浏览器中并不会创建一个新的session。所以同一个浏览器还是可以重复登录的,目前还没有什么很好解决办法。本来想如果重复登录,则通过校验session是否存在来禁止登录。但是之前登录的若关闭了标签页,则在这个浏览器上的其他标签页则再也无法登录了。所以这个做法也有问题。




推敲
关注
  • 14
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 16
    评论
专栏目录
SpringMVC拦截实现监听session是否过期详解
08-28
主要介绍了SpringMVC拦截实现监听session是否过期详解,还是比较不错的,这里分享给大家,供需要的朋友参考。
详解Spring MVC拦截实现session控制
08-31
主要介绍了详解Spring MVC拦截实现session控制,使用session监听重复登录后,强制之前登录session过期。有兴趣的可以了解一下。
同一浏览下多用户登录问题解决
shidouyu的专栏
08-05 6152
问题:在如果在同一个浏览下只有一个用户登录的情况,在服务端可以使用 Session 存储用户登录信息。但是在项目中如果需要在同一个浏览下允许多个不同的用户登录,这样做会存在问题,因为服务端区分不同用户是通过 Cookie 中存储的 JSESSIONID 区分的,如果 JSESSIONID 相同,那么他们在服务端将会使用同一个 Session 对象。而同一浏览使用的 Cookie 是相同的, 从而 JSESSIONID 也是相同的,无法区分不同的用户。当浏览登录第一个用户后,用户信息写入到 Ses..
session监听防止用户登录重复
毅个混蛋的专栏
11-02 9939
思路,主要是实现一些session监听的接口,在session中set属性时,判断是不是user对象,然后缓存下来,userName为key,session对象为value, 然后,每次登录的时候去这个缓存中查找是否有这个用户,取出来的session为空则没有,取出来有值,则改用户登录过了, 后面就是自己的逻辑了。 有2种 -------------------------------
Spring 限制用户重复登录
_yuki_
12-12 5910
监听: import java.util.ArrayList; import java.util.HashMap; import java.util.Iterator; import java.util.List; import java.util.Map; import javax.servlet.http.HttpSession; import javax.servlet.http.
使用SessionListener+持久化Session+Springmvc拦截实现单点登录
10-24
以上就是使用`SessionListener`、持久化`Session`和`Springmvc拦截`实现单点登录的基本原理和实现步骤。通过这样的设计,可以有效地提升用户体验,同时确保系统的安全性。在实际项目中,还需要根据具体需求进行...
使用maven 部署环境 mvc模式 实现 登录 退出登录注册 过滤和监听的功能
05-26
我们创建一个`SessionListener`,在session创建时记录用户登录,在session销毁时记录用户退出。 11. **配置Web.xml** 在`WEB-INF/web.xml`中,我们需要配置Spring MVC的DispatcherServlet,以及过滤监听的...
Spring-session2整合spring5+redis
12-18
Spring Session提供了拦截、过滤等多种集成方式,使得在Spring应用中集成非常方便。 其次,Hibernate 5是一个流行的Java ORM框架,用于简化数据库操作。它允许开发人员使用Java对象来操作数据库记录,而不是...
java防止帐号重复登录、后登入用户踢前登入用户
XuJiangDong
05-15 6121
方法1: 每个用户登录后建立一个用户对象,将其同时放入session和在线用户集合;每个用户登录前先检查该用户名是不是在集合内,如果是,则将原用户对象移除,让二次登录用户直接登录用户每个请求前的在线状态查询里,判断其sesssion里用户对象是不是在集合里,不是则提醒未登录。方法2: 在数据库表中增加一个字段, loginStatus(命名就随便了) 就设置2个值把 1和2(随便什么都行
Spring MVCSession监听监听设置小细节
zhiyangxuzs的博客
01-10 2753
今天在SpringMVC项目中加入了一个Session监听事件,当在web.xml中注册后启动项目一直报异常,之后查证后发现,原来session监听类中不能进行依赖注入,而我同时又必须要用注入方式进行实例化,最终经过多次试验,终于解决了问题,下面是具体代码: //记得 到web.xml中注册监听 public class SessionListenerLog implements HttpSes
使用session监听解决用户重复登陆问题_不吝孤独_新浪博客
u014605652的博客
04-01 237
引用别人的回答:首先, 你在登陆的时候应该把用户名存入到session中去, 然后用Web自带框架中, 有一个HttpSessionListener接口, 还有HttpSessionAttributeListener接口, 他们两个有一些需要实现的方法 HttpSessionListener两个:sessionCreated, sessionDestroyed sessionCreate...
java spring mvc 监听_SpringMVC拦截实现监听session是否过期详解
weixin_39959349的博客
02-26 417
在实际的应用场景中,单点登录的功能仍然非常重要。从逻辑上讲,我们不允许一个用户同时执行两个操作,下文是爱站技术频道小编介绍的关于SpringMVC拦截实现监听session是否过期详解,一起去看看吧。一、拦截配置二、拦截编码public boolean preHandle(HttpServletRequest request, HttpServletResponse response,Obj...
Spring Mvc那点事---(25)Spring Mvc监听绑定session对象状态
游响云停专栏
07-03 4410
绑定到session对象中的属性可以通过一些方式知道自己的状态,可以知道绑定到session,从session中解除绑定,以及对象被保存到到设备上,比如硬盘,或者从硬盘中恢复等。要实现些功能,需要通过HttpSessionBindingListener接口和HttpSessionActivationListener接口来完成. 这两个接口可以直接使用,不需要在web.xml中进行配置
spring security3.0限制用户重复登录
天码星空
08-08 1000
由于项目框架比较老,近期被安全扫描到“会话固定漏洞”即,同一个账号都可以多地同时登录。网上好多方法都不行,只能自己读spring security源码来解决。经过两天的日夜研究终于看到想要的结果,特记录下来供大家参考。 在web.xml中添加监听 <!--一个用户只能在一个主机登录 --> <listener> <listener-class>org.springframework.security.web.session.HttpSessionEventPub
session登录控制 后一个踢掉前一个
Wormhole
01-23 3868
最近实现项目中的用户重复登录控制,即新用户登录使前一个登录用户强制下线 ,思路是这样的,在前台主页面写一个程序定时向后台发送请求获取后台信息来判断session是否失效,若失效强制下线。 (SSM框架为例) 一 Controller层 1. 定义两个全局MAP 来存放用户登录帐号(userId),sessionsessionId //userid,session publ
(六)struts之解决重复登录
我的地盘我做主
04-09 587
平时网上注册大家都经历过,比如用户在注册成功之后,再打击后退按钮,退回到表单页再次提交表单,如果未处理重复提交这一细节上的要求,将会再次成功提交,数据库中有重复数据,在一个良好的程序中式不允许这么出现的。  Struts的Token(令牌)机制能够很好的解决表单重复提交的问题。  基本原理是:服务在处理到达的请求之前,会将请求中包含令牌值与保存在当前会话中的令牌值进行比较,看是否匹配。在处理
session用户账号认证(一个用户登陆,踢出前一个用户
weixin_30865427的博客
11-04 142
在web.xml中配置: <listener> <listener-class>cn.edu.hbcf.common.listener.SessionAttributeListener</listener-class> </listener> 然后写一个实体类: package cn.edu.hbcf.comm...
jsp+dao+bean+servlet(MVC模式)实现简单用户登录和注册页面.docx
01-20
jsp+dao+bean+servlet(MVC模式)实现简单用户登录和注册页面.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值