Java Web防止同一用户同时登录实现方式

于 2024-06-21 13:37:38 发布
阅读量1.4k 收藏 19
点赞数 22
分类专栏: java 文章标签: java 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72642319/article/details/139858557
版权

在Java Web应用中防止用户重复登录,主要是通过维护用户的会话状态来实现。

以下是几种常见的实现方式:

1. 使用Session

        最直接的方式是利用HTTP Session。

        当用户登录成功后,服务器为其创建一个唯一的Session,并将用户信息保存在Session中。

        在后续请求中,通过验证Session中的用户信息来判断用户是否已登录以及是否为重复登录。

        1.1、实现步骤:

                用户登录成功后,将用户信息存储到Session中。

                在需要验证用户身份的页面或操作前,检查当前Session中是否存在用户信息。如果存在,则认为用户已登录;如果不存在或信息不符,则认为未登录或尝试重复登录。

                对于重复登录的情况,可以根据业务需求选择注销之前的Session或拒绝新的登录请求。

        1.2、示例:

// 假设UserService是一个服务类,用于处理用户登录逻辑
public class UserService {

    public User login(HttpServletRequest request, String username, String password) {
        // 真实环境中,这里应该是从数据库验证用户名和密码
        User user = findUserByUsernameAndPassword(username, password);

        if (user != null) {
            // 检查用户是否已经登录
            HttpSession session = request.getSession(false);
            if (session != null) {
                // 如果session不为空,说明用户已登录,可以根据业务需求处理,这里简单示例为踢出前一个登录
                session.invalidate(); // 使之前的session失效
            }
            
            // 创建新的session,并保存用户信息
            HttpSession newUserSession = request.getSession(true);
            newUserSession.setAttribute("currentUser", user);
            return user;
        } else {
            return null; // 登录失败
        }
    }
}

        1.3、优缺点:

                优点:实现简单,直接利用Web容器提供的功能。

                缺点:如果用户在一个浏览器中登录后,又在另一个浏览器或设备上登录,由于Session是基于浏览器的,所以无法识别为重复登录。

2. 使用数据库记录登录状态

        在数据库中为用户增加一个登录状态字段,每次用户登录时更新该字段,并在用户登出时重置。

        每次用户尝试登录时,先查询数据库中的登录状态。

        2.1、实现步骤:

                登录时,更新用户表中的登录状态字段,并记录Session ID或Token。

                在每个需要验证的请求中,检查数据库中该用户的登录状态和Session ID或Token的一致性。

                用户登出时,不仅销毁Session,还要更新数据库中的登录状态。

        2.2、示例:

@Service
public class UserService {

    @Autowired
    private UserRepository userRepository;

    public User login(HttpServletRequest request, String username, String password) {
        User user = userRepository.findByUsername(username);
        
        if (user != null && user.getPassword().equals(password)) {
            // 检查用户是否已登录
            if (user.getLoginStatus()) {
                // 根据业务需求处理重复登录,这里假设直接覆盖之前的登录
                logout(request, user);
            }
            
            // 更新数据库中的登录状态和Session ID
            String sessionId = request.getSession().getId();
            user.setSessionId(sessionId);
            user.setLoginStatus(true);
            userRepository.save(user);
            return user;
        }
        return null;
    }

    public void logout(HttpServletRequest request, User user) {
        // 更新数据库中的登录状态
        user.setLoginStatus(false);
        user.setSessionId(null);
        userRepository.save(user);
        
        // 清除Session
        request.getSession().invalidate();
    }
}

        2.3、优缺点:

                优点:可以跨浏览器和设备识别重复登录。

                缺点:增加了数据库的访问频率,可能影响性能;实现相对复杂。

3. 使用Token机制

        基于Token的身份验证也是防止重复登录的有效方法。

        用户登录成功后,服务器生成一个唯一Token并返回给客户端,客户端在后续请求中携带此Token。

        服务器验证Token的有效性和唯一性来判断用户状态。

        3.1、实现步骤:

                登录成功后生成Token,存入数据库或缓存,并将Token发送给客户端。

                客户端在每次请求时携带Token,服务器验证Token的有效性(包括是否过期、是否已被其他会话使用)。

                当检测到重复登录时,可以选择使旧Token失效或直接拒绝新的登录请求。

        3.2、示例:

                使用Token机制防止同一用户同时登录,可以通过JWT(JSON Web Tokens)来实现。

                3.2.1、添加JWT依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.2</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.2</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId> <!-- 或jjwt-gson如果你使用Gson -->
    <version>0.11.2</version>
</dependency>

                3.2.2、创建JWT工具类

                        创建一个JWT工具类来生成和验证Token

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JwtUtils {
    private static final String SECRET_KEY = "SecretKey"; // 应替换密钥
    private static final long EXPIRATION_TIME = 86400000; // 1天有效期

    // 生成Token
    public static String generateToken(String username) {
        Date now = new Date();
        Date expiration = new Date(now.getTime() + EXPIRATION_TIME);

        Map<String, Object> claims = new HashMap<>();
        claims.put("username", username);

        return Jwts.builder()
                .setClaims(claims)
                .setIssuedAt(now)
                .setExpiration(expiration)
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    // 验证Token
    public static boolean validateToken(String token) {
        try {
            Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token);
            return true;
        } catch (Exception e) {
            return false;
        }
    }

    // 从Token中获取用户名
    public static String getUsernameFromToken(String token) {
        Claims claims = Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();
        return claims.get("username", String.class);
    }
}

                3.2.3、用户登录逻辑

                        在用户登录成功后,生成Token并返回给前端。

                        同时,可以考虑在数据库中记录当前有效的Token,以便于检查重复登录。

@RestController
@RequestMapping("/api/auth")
public class AuthController {

    @PostMapping("/login")
    public ResponseEntity<Map<String, String>> login(@RequestBody LoginRequest loginRequest) {
        // 假设UserService能根据用户名和密码验证用户
        if (userService.authenticate(loginRequest.getUsername(), loginRequest.getPassword())) {
            // 生成Token
            String token = JwtUtils.generateToken(loginRequest.getUsername());

            // 假设TokenService用于存储和管理Token
            tokenService.saveToken(token);

            Map<String, String> response = new HashMap<>();
            response.put("token", token);
            return ResponseEntity.ok(response);
        } else {
            throw new ResponseStatusException(HttpStatus.UNAUTHORIZED, "Invalid username or password");
        }
    }
}

                3.2.4、防止重复登录

                        在每次请求时验证Token,并检查数据库中是否已有相同的活跃Token。

                        如果有,则认为是重复登录。

// 示例拦截器或过滤器逻辑
public class JwtAuthenticationFilter extends OncePerRequestFilter {

    @Autowired
    private TokenService tokenService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        String token = getTokenFromRequest(request);
        if (JwtUtils.validateToken(token)) {
            String username = JwtUtils.getUsernameFromToken(token);
            if (tokenService.isTokenActive(username, token)) {
                // Token有效且未被其他会话使用,继续请求链
                filterChain.doFilter(request, response);
            } else {
                // 重复登录,可以在这里处理逻辑,如返回错误信息
                response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "重复登录");
            }
        } else {
            // Token无效,可以在这里处理逻辑
            response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "无效的Token");
        }
    }

    // 从请求中提取Token的逻辑
    private String getTokenFromRequest(HttpServletRequest request) {
        String bearerToken = request.getHeader("Authorization");
        if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7);
        }
        return null;
    }
}

        3.3、优缺点:

                优点:支持跨域登录验证,适用于分布式系统;安全性较高。

                缺点:需要额外的Token管理机制,如过期处理、存储和验证逻辑。

4. 综合考虑

        根据实际应用场景选择合适的方案。

        对于大多数Web应用,结合Session和数据库或Token机制可以有效防止用户重复登录,同时兼顾用户体验和安全性。

        在设计时还需考虑性能、扩展性和安全性之间的平衡。

huanhuan_m1
关注
  • 22
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 防止用户重复登录_java使用token防止用户重复登录以及验证用户登录
weixin_42139429的博客
02-12 1150
登录成功后,使用用户id构造生成一个token并保存到redis中,同时也保存用户id到session中生成token的代码如下:@Overridepublic String createToken(String phone,String appId) throwsException {long loginTime =DateUtil.getNowTimeStampTime().getTime()...
Java web实现账号单一登录,防止同一账号重复登录(踢人效果)
08-25
主要介绍了Java web实现账号单一登录防止同一账号重复登录,有点类似于qq登录踢人效果,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
java使用过滤器和监听器防止用户重复登录
weixin_50216991的博客
10-04 2011
任务描述 相信很多小伙伴都使用QQ聊天工具,那是否遇到过这样的场景呢?当在一台电脑上已经登录QQ,此时因为某些原因需要在另一台电脑再登录相同号码的QQ,登录成功后会发现之前电脑上的QQ下线了。这就是QQ限制同一个号码在电脑上不能重复登录,我们的Web程序也可以进行重复登录限制,那么本次任务就是用过滤器和监听器来解决重复登录问题。具体任务如下: 1、未登录时不能访问主界面。 2、登录后,登录信息存储到session中。 3、监听器监听session属性值变化。 4、一个浏览器中已经登录,如果在另
Java防止用户同一时间重复登录(包括异地登录
Brave的博客
07-22 3725
有时候我们在做登录模块过程中难免会遇到这种问题,即使我们给用户进行了多重判断,比如:用户名,管理员,验证码,一系列的判断… 你是否真正考虑到用户的体验,比如不能让用户同一时间,同一个浏览器重复登录问题,同时也包括不同浏览器登录(异地登录)问题。 这些都是我们应该去考虑的。如果是用Spring 框架的话,Spring security 是可以实现防止用户重复登录的问题的,但我这里并没有用到框架,因...
javaWeb防止用户重复登录
qq_40026968的博客
04-24 774
网站使用session保存登录用户信息 不过如果在两个浏览器登陆的话服务器就会出现两条session。 要保证用户不重复登录,那么该用户的session应该保证只有一个. @Component public class LoadDataCache implements ApplicationListener { //在线用户(用于控制用户不可重复登录) private static Has...
Java Web开发防止用户重复登录的完美解决方案
09-01
Java Web开发中,防止用户重复登录是一个重要...总之,通过在`application`作用域中管理登录信息并结合`session`监听器,可以有效地实现Java Web应用程序中防止用户重复登录的功能,提高系统的安全性和用户体验。
Java实现用户不可重复登录功能
08-31
Web应用中,用户登录通常涉及将用户信息存储在服务器端的session中。每当用户通过用户名和密码验证后,服务器会生成一个唯一的session ID,并将其发送给客户端(通常是浏览器),保存在cookie中。之后,客户端在...
Java Web 实现QQ登录功能一个帐号同一时间只能一个人登录
09-01
Java Web开发中,实现QQ登录功能并限制一个账号同一时间只能一个人登录,涉及到的关键技术包括用户会话管理、状态跟踪以及异常情况处理。以下是对这个功能实现的详细解析: 首先,我们需要一个全局的存储结构来...
JavaWeb实现同一帐号同一时间只能一个地点登陆(类似QQ登录的功能)
09-01
JavaWeb开发中,实现同一账号同一时间只能在一个地点登录的功能,主要目的是为了增强系统的安全性,防止用户账户被他人恶意登录或同时在多个设备上使用,例如在在线考试系统、即时通讯应用等场景中尤为关键。...
java 防止用户重复登录_Java Web开发防止用户重复登录的完美解决方案
weixin_39968309的博客
02-12 340
目前web项目中,很多情况都是可以让同一个账户信息在不同的登录入口登录这次,这样子就不那么美好了。推荐阅读:现在有两种解决方案:1、将用户登录信息用一个标志位的字段保存起来,每次登录成功就标记1,注销登录就标记为0,当标记为1的时候不允许别人登录。2、将用户登录信息保存在application内置作用域内, 然后利用session监听器监听每一个登录用户登录情况。很显然,第一种方式 每次登录...
防止用户重复登录
06-03
防止用户重复登录,同ID只可登录一个
java防止账号重复登录_防止同一网站用户重复登录时遇到的问题
weixin_42403124的博客
02-26 623
目的:同一用户不能重复登录实现:在Action里做check,如果当前session里面有既存的user,就在登录页面上返回错误信息。现状:1.登录时提交方式为Post。2.登录用的actionForm已经在struts-config里面配置socpe="request"。3.从登录页面登录成功后的页面使用了frameset。环境: Java struts+tomcat,IE6~IE11问题...
java限制用户重复登录,怎么防止用户重复登陆?
weixin_29274969的博客
03-10 598
Java codepackage test;import javax.servlet.ServletContext;import javax.servlet.http.HttpServlet;import javax.servlet.http.HttpSession;import org.apache.struts.action.ActionMapping;public class session...
java 防止用户重复登录_JAVA 如何避免用户的重复登录
weixin_35701002的博客
02-12 454
展开全部读懂下面代码,就知道如何实现 一个用户登陆 踢掉之前登陆的用户了//第一步//此监听62616964757a686964616fe4b893e5b19e31333337626166器用来监听用户在对session做操作的时候执行相应的方法importjavax.servlet.http.HttpSession;importjavax.servlet.http.HttpSessionA...
java防止重复登陆_Java Web开发防止用户重复登录的完美解决方案
weixin_30995917的博客
02-24 1215
目前web项目中,很多情况都是可以让同一个账户信息在不同的登录入口登录这次,这样子就不那么美好了。推荐阅读:Java用户登录限制实现方法现在有两种解决方案:1、将用户登录信息用一个标志位的字段保存起来,每次登录成功就标记1,注销登录就标记为0,当标记为1的时候不允许别人登录。2、将用户登录信息保存在application内置作用域内, 然后利用session监听器监听每一个登录用户登录...
java用户重复登录_Java中简单的防止用户重复登录解决方案 - 穿梭于偶然
weixin_28848317的博客
02-12 1228
前一段时间碰到一个需求:一个账号只能登录一次,不能在网上找了下,大概有两种解决方案:1、通过数据库状态位判断该用户是否已经登录。2、利用session监听 器监听每一个登录用户登录情况。个人想了下,第一种解决方案很简单,但需要考虑用户非正常退出的情况,如直接关闭浏览器等等,可用性较低。接下来,主要介绍第二种方案的具体实现:A.用户登录后,先去数据库查询该登录名是否存在、是否锁定,在登录名存在且非...
java web项目防止用户重复登录解决方案
qq_38472535的博客
08-02 151
java web项目防止用户重复登录解决方案
如何限制同一客户端登录用户数量以及禁止同一用户同时在不同客户端登录
热门推荐
yutan_313的专栏
03-22 1万+
web应用系统中,出于安全性考虑,经常需要对同一客户端登录用户数量和一个客户同时在多个客户端登陆进行限制。具体一点就是: 1、在同一台电脑上一次只允许有一个用户登录系统,2、一个用户同一时间只允许在一个客户端登录。 我最近做的一个系统就遇到了这样的问题,本来系统已经开发完成了,但是安全测评没有通过,就是因为没有做这两个限制。怎么来做这样的限制呢?我在网上找了很久,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值