负载均衡下,数据库+Spring MVC拦截器禁止用户重复登录

最新推荐文章于 2022-05-13 15:59:26 发布
最新推荐文章于 2022-05-13 15:59:26 发布
阅读量3.6k 收藏 3
点赞数
分类专栏: web开发 系统安全 文章标签: 负载均衡 java web禁止重复登录 Spring MVC拦截器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jrn1012/article/details/25790421
版权

       在上一篇文章中,介绍了使用session监听+spring MVC拦截器禁止用户重复登录 。但随着用户数量的增大,需要采用多服务器构建负载均衡,以分担大量用户访问对系统造成的压力。此时为了禁止用户重复登录,使用session监听+Spring MVC拦截器的方式存在一定问题,因为用户登录后路由到哪台服务器具有不确定性,比如用户第一次登录后被路由到服务器A,不能保证用户1小时后重复登录后被路由到服务器A。因此通过服务器缓存的sesson集合判断用户是否已经登录过不可行。

        而通过数据库+Spring MVC拦截器的的基本思路是:建立一张用户在线表(UserOnLine),用户每次登录时,记录当前sessionID,或者用户第几次登录version(本文记录version)。在Spring MVC拦截器中校验数据库中version是否和当前session中的version相等,不相等强制session过期,并提示用户重复登录,强制退出到登录界面。

           具体如下:

1、UserOnLine表实体(项目中使用hibernate注解方式)

package com.cnpc.base.user.model;

import java.io.Serializable;
import java.util.Date;

import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.GeneratedValue;
import javax.persistence.Id;
import javax.persistence.Table;

import org.codehaus.jackson.annotate.JsonIgnoreProperties;
import org.codehaus.jackson.annotate.JsonProperty;
import org.hibernate.annotations.GenericGenerator;

@Entity
@Table(name = "USER_ONLINE")
@JsonIgnoreProperties(value = { "hibernateLazyInitializer", "handler","fieldHandler" })
public class UserOnLine implements Serializable {

	/**
	 * 
	 */
	private static final long serialVersionUID = 5030026318119472029L;

	@Id
	@Column(name = "id", length = 36)
	@GeneratedValue(generator = "uuid")
	@GenericGenerator(name = "uuid", strategy = "org.hibernate.id.UUIDGenerator")
	@JsonProperty("id")
	private String id;

	/** 用户ID**/
	@Column(name = "userid", length = 36)
	private String userid;

	/** 登录时间 **/
	@Column(name = "loginTime")
	private Date loginTime;

	/**
	 * 用户登录次数
	 */
	@Column(name = "version")
	private int version;

	public String getId() {
		return id;
	}

	public void setId(String id) {
		this.id = id;
	}

	public String getUserid() {
		return userid;
	}

	public void setUserid(String userid) {
		this.userid = userid;
	}

	public Date getLoginTime() {
		return loginTime;
	}

	public void setLoginTime(Date loginTime) {
		this.loginTime = loginTime;
	}

	public int getVersion() {
		return version;
	}

	public void setVersion(int version) {
		this.version = version;
	} 
	
}

2、用户成功登录后,更新user_online表

public void sessionHandlerByTable(HttpSession session){
		String userid=session.getAttribute("userid").toString();
		UserOnLine user=userService.getUserOnLineByUserId(userid);
		if(user==null){
			user=new UserOnLine();
			user.setLoginTime(new Date());
			user.setUserid(userid);
			user.setVersion(1);
			user=(UserOnLine)userService.save(user);
		}
		else{
			user.setLoginTime(new Date());
			user.setVersion(user.getVersion()+1);
			user=(UserOnLine)userService.update(user);
		}
		session.setAttribute("version", user.getVersion());//session中保存用户登录次数	
	}

3、Spring MVC拦截器authIntercepter(拦截器的配置见上篇文章) 

package com.cnpc.framework.interceptor;

import java.io.PrintWriter;
import java.util.Map;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.stereotype.Component;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.cnpc.base.user.service.UserService;
import com.cnpc.framework.common.SessionContainer;

@Component("SpringMVCInterceptor")
public class AuthInterceptor extends HandlerInterceptorAdapter {    
    @Resource 
    private UserService userService;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        request.setCharacterEncoding("UTF-8");
        response.setCharacterEncoding("UTF-8"); 
        response.setContentType("text/html;charset=UTF-8");
 
        // 后台session控制
        String[] noFilters = new String[] { "/auth/login", "/auth/logout" };
        String uri = request.getRequestURI();

        boolean beFilter = true;
        for (String s : noFilters) {
            if (uri.indexOf(s) != -1) {
                beFilter = false;
                break;
            }
        }
        SessionContainer sessionContainer = (SessionContainer) request.getSession().getAttribute("SessionContainer");
        if (beFilter) {
            if (null == sessionContainer) {
                if (request.getHeader("x-requested-with") != null
                        && request.getHeader("x-requested-with").equalsIgnoreCase("XMLHttpRequest"))// 如果是ajax请求响应头会有,x-requested-with;
                {
                    response.setHeader("sessionstatus", "timeout");// 在响应头设置session状态
                    return false;
                }
                // 未登录
                PrintWriter out = response.getWriter();
                StringBuilder builder = new StringBuilder();
                builder.append("<script type=\"text/javascript\" charset=\"UTF-8\">");
                builder.append("alert(\"页面过期,请重新登录\");");
                builder.append("window.top.location.href='/auth/logout';");
                builder.append("</script>");
                out.print(builder.toString());
                out.close();
                return false;
            } else { 
                int version=userService.getUserOnLineByUserId(request.getSession().getAttribute("userid").toString()).getVersion();
                if(version!=Integer.parseInt(request.getSession().getAttribute("version").toString())){
                    //强制session超时
                    request.getSession().invalidate();    
                    if (request.getHeader("x-requested-with") != null
                            && request.getHeader("x-requested-with").equalsIgnoreCase("XMLHttpRequest"))// 如果是ajax请求响应头会有,x-requested-with;
                    {
                        response.setHeader("sessionstatus", "repeatlogin");// 在响应头设置session状态
                        return false;
                    }   
                    PrintWriter out = response.getWriter();
                    StringBuilder builder = new StringBuilder();
                    builder.append("<script type=\"text/javascript\" charset=\"UTF-8\">");
                    builder.append("alert(\"您的帐号已在其他机器登录,请重新登录\");");
                    builder.append("window.top.location.href='/auth/logout';");
                    builder.append("</script>");
                    out.print(builder.toString());
                    out.close();
                    return false;
                }    
                // 添加系统日志
                // -----------------------------------
                // -----------------------------------
            }
        }
        Map paramsMap = request.getParameterMap();
        return super.preHandle(request, response, handler);
    }
}

在客户端以ajax方式同服务器交互时,客户端还要处理session过期后的跳转,其代码如下(放入公共js文件中) 

 $.ajaxSetup({   
       contentType:"application/x-www-form-urlencoded;charset=utf-8",   
	   complete:function(XMLHttpRequest,textStatus){   
	         var sessionstatus=XMLHttpRequest.getResponseHeader("sessionstatus"); // 通过XMLHttpRequest取得响应头,sessionstatus,
	           if(sessionstatus=="timeout"){   
	                 // 如果超时就处理 ,指定要跳转的页面	
	        	 alert("页面过期,请重新登录"); 
	                 window.top.location.href="/auth/logout";
	                }  
	           if(sessionstatus=="repeatlogin"){   
	                 alert("您的帐号已在其他机器登录,请重新登录");  
	                 window.top.location.href="/auth/logout";   
	                 }
	              }     
	           } 
	      );

以上方式实现了负载均衡下,禁止用户重复登录的功能。当然也可用在单机服务器上。唯一的不足是每次要从数据库中取出该用户的version同session中的version比对,会损失一部分性能。



推敲
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
登录限制次数拦截器
qq_37698827的博客
08-21 768
对于pc端登陆为了防止多次登陆失败,对账号进行控制,限制登陆次数 package com.qk.interceptor; import com.qk.po.news.NewsLimitBackUser; import com.qk.service.news.NewsLoginLimitService; import org.springframework.beans.factory.ann...
Shiro+SpringMVC 实现更安全的登录(加密匹配&登录失败超次数锁定帐号)
热门推荐
小灯光环
09-17 4万+
关于shiro实现登录中的安全加密匹配与登录失败超次数锁定账户的功能。
使用session监听+spring MVC拦截器禁止用户重复登录
jrn1012的专栏
05-14 2万+
在许多web项目中,需要禁止用户重复登录,及
项目申报系统(Struts2+Spring+Hibernate+Jsp+Mysql5).zip
最新发布
07-06
此外,为了保证系统的高可用性,可以考虑引入负载均衡数据库主从复制等技术。 总之,本项目利用Struts2+Spring+Hibernate+Jsp+Mysql5的技术栈,构建了一个完整的项目申报系统,体现了Java EE开发的强大功能和灵活...
SpringMVC + Spring + Mybatis
04-26
9. **性能优化**:结合缓存技术(如Redis或 Ehcache)、数据库连接池(如HikariCP或Druid)、以及负载均衡和分布式部署策略,可以进一步优化基于SpringMVCSpring和Mybatis的应用性能。 通过以上讲解,我们可以...
论坛系统(Struts 2+Spring实现)
07-28
它提供了模型-视图-控制器架构,简化了页面控制器的开发,支持多种视图技术如JSP、FreeMarker等,并提供了强大的拦截器机制,可以方便地进行业务逻辑处理和数据验证。 2. **Spring框架**:Spring是一个全面的Java...
Spring4.x++企业应用开发实战
11-29
5. **MVC框架**:Spring MVC是构建Web应用的模块,提供模型-视图-控制器架构,支持RESTful风格的URL设计、视图解析、拦截器、数据绑定等功能。 6. **事务管理**:Spring提供了声明式和编程式事务管理,使得事务控制...
Spring in Action.中文+ 英文版.
04-23
8. **Spring Cloud**:在微服务架构中,Spring Cloud提供了服务发现、配置中心、负载均衡、断路器等一系列工具,帮助构建云原生应用。 通过阅读《Spring in Action》这本书,读者可以深入了解以上各个方面的知识,...
负载均衡情况下解决账号重复登录以及在线人数统计解决方案
12-10
1、在负载均衡以及单服务器部署模式下面解决同一个账户不能重复登录问题,如果重复登录则之前会话失效. 2、只提供负载均衡情况下避免账户重新登录解决方案。在线人数统计也可以参考这种方法实现,未做具体描述。
Spring 限制用户重复登录
_yuki_
12-12 5912
监听器: import java.util.ArrayList; import java.util.HashMap; import java.util.Iterator; import java.util.List; import java.util.Map; import javax.servlet.http.HttpSession; import javax.servlet.http.
websocket redis 单用户多端登录 发送通知 nginx负载均衡
默存
07-28 1194
场景:用户在不同客户端登录时,通过websocket可以进行实时通知,同时需要发布项目到多台服务器上,使用nginx对websocket进行负载均衡。 具体示例:以用户为单位,登录A 、B 浏览器,后台通过websocket进行实时推送(部署在多台服务器),用户在 A 浏览器 操作 通知 已阅读按钮(只能看到自己的未处理消息),同时在 A、 B浏览器会收到最新的 剩余阅读数量提示。 解决思想:通过redis的 发布订阅 消息通信模式-》用户完成订阅频道后,业务逻辑进行消息发布,最后we...
486、Java工具和中间件06 -【Nginx - Sesion共享】 2021.03.08
youyouwuxin1234的博客
03-08 271
目录 0、负载均衡 session问题 1、解决办法一: ip_hash 2、解决办法二: redis+tomcat-sessoin-manager 3、接下来进行具体操作 4、启动redis 5、jar包 6、修改context.xml 7、重启tomcat 8、测试访问tomcat8111 9、测试访问tomcat8222 10、下载已经配置好了的tomcat 11、参考链接 0、负载均衡 session问题 通过负载均衡课程,我们可以把请求分发到不同的 Tomcat .
账号多端限制登录用户使用同一个账号登录,后面登录的会把前面登录的挤下线。shiro+ehcache
qq_38803590的博客
05-13 1423
思路: 用户登录信息存放缓存ehCache,调用登录接口之前,从缓存获取系统当前在线用户数据,数据包含sessionId和账号。如果当前登录账号和获取的在线用户的账号相同,则把这个账号的sessionId的timeout设置为1秒。 1. 登录信息存放到ehCache缓存 //只展示核心内容 public Message login(HttpServletRequest request, UsernamePasswordToken token) { Subject subject =...
后端逻辑机制实现相关:单一登陆,使用session监听+spring MVC拦截器禁止用户重复登录
心静自然凉zc的博客
07-12 1334
web项目中禁止用户重复登录。一般来说有两种做法:         一是在用户表中维护一个字段(是否在线),用户登录时,设定值为true,用户退出时设定为false,在重复登录时,检索到该字段为true时,禁止用户登录。这种方法有明显的漏洞,及用户在非正常情况退出(关闭浏览器、关机等)是,该字段值一直为true,会导致用户无法登录。          而另一种比较通用的做法是使用session监听...
Java Web防止用户重复登录(同一用户同时登录)的一种实现方案
程裕强的专栏
09-28 2万+
1.思路在Java web项目中,有时需要防止用户重复登录,解决方案有多种。 这里给出一个简单的解决方案:在处理登录的login方法中,先查询数据库验证下该用户是否存在,如果存在 判断该登录账户是否已经锁定了, 然后从application内置作用域对象中取出所有的登录信息,查看该username账户是否已经登录,如果登录了,就友好提示下,反之表示可以登录,将该登录信息以键值对的方式保存在appl
基于spring mvc + spring + mybatis 修改登录用户密码
05-16
最后,在Spring框架中,我们需要配置相关的bean,包括数据源、事务管理器、MapperScannerConfigurer等。我们可以使用注解或XML配置来完成这些工作。 综上所述,基于Spring MVCSpring和MyBatis框架,我们可以轻松...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值