使用session监听+spring MVC拦截器禁止用户重复登录

最新推荐文章于 2021-10-04 20:01:24 发布
最新推荐文章于 2021-10-04 20:01:24 发布
阅读量359 收藏 1
点赞数 1
分类专栏: Spring 文章标签: java 运维 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pyzheng/article/details/84713029
版权
[url]http://blog.csdn.net/jrn1012/article/details/25781319[/url]
在许多web项目中,需要禁止用户重复登录。一般来说有两种做法:

一是在用户表中维护一个字段isOnLine(是否在线),用户登录时,设定值为true,用户退出时设定为false,在重复登录时,检索到该字段为true时,禁止用户登录。这种方法有明显的漏洞,及用户在非正常情况退出(关闭浏览器、关机等)是,该字段值一直为true,会导致用户无法登录。

而另一种比较通用的做法是使用session监听,重复登录后,强制之前登录的session过期,从而踢出了该用户。具体做法是:使用监听器维护服务器上缓存的sessionMap,该map是以<session.getId(),session>的键值对,在登录后,使用userid替换session.getId(),从而使得sessionMap中维护的是<userid, session>的键值对。后续该帐号重复登录时,检索到已有该帐号session则强制它过期。


[b]1、web.xml中配置session监听 [/b] 
<listener>  
        <listener-class>com.cnpc.framework.listener.SessionListener</listener-class>          
</listener>


[b]2、session监听SessionListener类 [/b] 
package com.cnpc.framework.listener;  

import javax.servlet.http.HttpSessionEvent;  
import javax.servlet.http.HttpSessionListener;  

import com.cnpc.framework.utils.SessionContext;  

public class SessionListener implements HttpSessionListener {  
    public  static SessionContext sessionContext=SessionContext.getInstance();  

    public void sessionCreated(HttpSessionEvent httpSessionEvent) {  
        sessionContext.AddSession(httpSessionEvent.getSession());  
    }  

    public void sessionDestroyed(HttpSessionEvent httpSessionEvent) {  
        sessionContext.DelSession(httpSessionEvent.getSession());  
    }  
}

[b]SessionContex类(使用单例模式) [/b] 
package com.cnpc.framework.utils;  

import java.util.HashMap;  

import javax.servlet.http.HttpSession;  


public class SessionContext {  
    private static SessionContext instance;  
    private HashMap<String,HttpSession> sessionMap;  

    private SessionContext() {  
        sessionMap = new HashMap<String,HttpSession>();  
    }  

    public static SessionContext getInstance() {  
        if (instance == null) {  
            instance = new SessionContext();  
        }  
        return instance;  
    }  

    public synchronized void AddSession(HttpSession session) {  
        if (session != null) {  
            sessionMap.put(session.getId(), session);  
        }  
    }  

    public synchronized void DelSession(HttpSession session) {  
        if (session != null) {  
            sessionMap.remove(session.getId());  
            if(session.getAttribute("userid")!=null){  
                sessionMap.remove(session.getAttribute("userid").toString());  
                //session.invalidate();   
            }  
        }  
    }  

    public synchronized HttpSession getSession(String session_id) {  
        if (session_id == null) return null;  
        return (HttpSession) sessionMap.get(session_id);  
    }  

    public HashMap getSessionMap() {  
        return sessionMap;  
    }  

    public void setMymap(HashMap sessionMap) {  
        this.sessionMap = sessionMap;  
    }  

}

[b]3、用户登录成功后,更新session Map,如重复登录,强制之前session过期 [/b] 
public void sessionHandlerByCacheMap(HttpSession session){  
        String userid=session.getAttribute("userid").toString();  
        if(SessionListener.sessionContext.getSessionMap().get(userid)!=null){  
            HttpSession userSession=(HttpSession)SessionListener.sessionContext.getSessionMap().get(userid);  
            //注销在线用户  
            userSession.invalidate();             
            SessionListener.sessionContext.getSessionMap().remove(userid);  
            //清除在线用户后,更新map,替换map sessionid  
            SessionListener.sessionContext.getSessionMap().remove(session.getId());   
            SessionListener.sessionContext.getSessionMap().put(userid,session);   
        }  
        else  
        {  
            // 根据当前sessionid 取session对象。 更新map key=用户名 value=session对象 删除map  
                SessionListener.sessionContext.getSessionMap().get(session.getId());  
            SessionListener.sessionContext.getSessionMap().put(userid,SessionListener.sessionContext.getSessionMap().get(session.getId()));  
            SessionListener.sessionContext.getSessionMap().remove(session.getId());  
        }  
    }


[b]4、spring MVC拦截器校验session是否过期,如果过期,给出提示,并跳转到登录界面。[/b]
拦截器配置 
      <init-param>  
            <description>Spring MVC配置文件</description>  
            <param-name>contextConfigLocation</param-name>  
            <param-value>classpath:controller.xml</param-value>  
        </init-param>  
controller.xml配置
[html] view plaincopy在CODE上查看代码片派生到我的代码片
<mvc:interceptors>     
        <bean class="com.cnpc.framework.interceptor.AuthInterceptor" />    
    </mvc:interceptors>


[b]拦截器authInterceptor[/b] 
package com.cnpc.framework.interceptor;  

import java.io.PrintWriter;  
import java.util.Map;  

import javax.annotation.Resource;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;  

import org.springframework.stereotype.Component;  
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;  

import com.cnpc.framework.common.SessionContainer;  

@Component("SpringMVCInterceptor")  
public class AuthInterceptor extends HandlerInterceptorAdapter {      

    @Override  
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {  
        request.setCharacterEncoding("UTF-8");  
        response.setCharacterEncoding("UTF-8");   
        response.setContentType("text/html;charset=UTF-8");  

        //过滤登录、退出访问  
        String[] noFilters = new String[] { "/auth/login", "/auth/logout" };  
        String uri = request.getRequestURI();  

        boolean beFilter = true;  
        for (String s : noFilters) {  
            if (uri.indexOf(s) != -1) {  
                beFilter = false;  
                break;  
            }  
        }  
        SessionContainer sessionContainer = (SessionContainer) request.getSession().getAttribute("SessionContainer");  
        if (beFilter) {  
            if (null == sessionContainer) {  
                //ajax方式交互  
                if (request.getHeader("x-requested-with") != null  
                        && request.getHeader("x-requested-with").equalsIgnoreCase("XMLHttpRequest"))// 如果是ajax请求响应头会有,x-requested-with;  
                {                     
                    response.setHeader("sessionstatus", "timeout");// 在响应头设置session状态  
                    return false;  
                }  
                // 未登录  
                PrintWriter out = response.getWriter();  
                StringBuilder builder = new StringBuilder();  
                builder.append("<script type=\"text/javascript\" charset=\"UTF-8\">");  
                builder.append("alert(\"页面过期,请重新登录\");");  
                builder.append("window.top.location.href='/auth/logout';");  
                builder.append("</script>");  
                out.print(builder.toString());  
                out.close();  
                return false;  
            } else {                      
                // 添加系统日志  
                // -----------------------------------  
                // -----------------------------------  
            }  
        }  
        Map paramsMap = request.getParameterMap();  
        return super.preHandle(request, response, handler);  
    }  
}  

以上Sprring MVC拦截器在同服务器以ajax方式交互时,前台需做如下相应处理:
[html] view plaincopy在CODE上查看代码片派生到我的代码片
//控制ajax请求,session超时处理页面跳转  
 $.ajaxSetup({     
       contentType:"application/x-www-form-urlencoded;charset=utf-8",     
       complete:function(XMLHttpRequest,textStatus){     
             var sessionstatus=XMLHttpRequest.getResponseHeader("sessionstatus"); // 通过XMLHttpRequest取得响应头,sessionstatus,  
               if(sessionstatus=="timeout"){     
                     // 如果超时就处理 ,指定要跳转的页面     
                     alert("页面过期,请重新登录");   
                     window.top.location.href="/auth/logout";  
                    }    
                  }       
               }   
          );


以上方式完成了禁止用户重复登录的功能,并将踢出之前登录的帐号,这在不同的浏览器中使用没有问题。但是因为在同一个浏览器中,多个标签页(Tab页)是共享session的,在同一个浏览器中并不会创建一个新的session。所以同一个浏览器还是可以重复登录的,目前还没有什么很好解决办法。本来想如果重复登录,则通过校验session是否存在来禁止登录。但是之前登录的若关闭了标签页,则在这个浏览器上的其他标签页则再也无法登录了。所以这个做法也有问题。
不净之心
关注
专栏目录
基于Spring + Spring MVC + Mybatis 高性能web构建
code小王子
11-22 20万+
一直想写这篇文章,前段时间 痴迷于JavaScript、NodeJs、AngularJs,做了大量的研究,对前后端交互有了更深层次的认识。 今天抽个时间写这篇文章,我有预感,这将是一篇很详细的文章,详细的配置,详细的注释,看起来应该很容易懂。 用最合适的技术去实现,并不断追求最佳实践。这就是架构之道。 主要的后端架构:Spring + Spring MVC + Mybatis + Apache Shiro 源码地址:https://github.com/Eliteams/quick4j
使用maven 部署环境 mvc模式 实现 登录 退出登录注册 过滤和监听的功能
05-26
我们创建一个`SessionListener`,在session创建时记录用户登录,在session销毁时记录用户退出。 11. **配置Web.xml** 在`WEB-INF/web.xml`中,我们需要配置Spring MVC的DispatcherServlet,以及过滤器和监听器的...
SpringMVC 拦截器 实现 登录退出功能
08-03
简单的SpringMVC小程序,用Intelli IDEA 编写的,实现拦截器功能,实现了简单的登录、退出功能,是入门的好程序
负载均衡下,数据库+Spring MVC拦截器禁止用户重复登录
weixin_34315189的博客
09-24 163
2019独角兽企业重金招聘Python工程师标准>>> ...
使用session监听器解决用户重复登陆问题_不吝孤独_新浪博客
u014605652的博客
04-01 282
引用别人的回答:首先, 你在登陆的时候应该把用户名存入到session中去, 然后用Web自带框架中, 有一个HttpSessionListener接口, 还有HttpSessionAttributeListener接口, 他们两个有一些需要实现的方法 HttpSessionListener两个:sessionCreated, sessionDestroyed sessionCreate...
在Struts2下使用[拦截器]配合[session监听器]实现在线会员统计与防止重复登录
gaoqiao1988的专栏
09-10 620
在Struts2下使用[拦截器]配合[session监听器]实现在线会员统计与防止重复登录 需求: 1.管理员后台可显示当前在线访客数以及在线会员数(在线会员要求列出详细清单). 2.某个客户端非法退出(直接关闭浏览器或断电啥的)后,接着他重新登录系统.在线统计上要做到保持登录统计的准确性与完整性. 3.防止多个客户端同时使用一个帐户异地登录(后登录者踢掉先登录者,并通
详解Spring MVC拦截器实现session控制
08-31
在本篇文章中,我们详细探讨了如何通过Spring MVC拦截器实现session的控制,特别是在处理用户登录状态和防止重复登录的场景。 首先,session监听是实现session控制的一种常见方法,通过实现特定的监听器接口,可以...
SpringMVC拦截器实现监听session是否过期详解
08-28
如果不存在,表示用户没有登录或者session已经过期,此时拦截器会拦截请求,并通过客户端的JavaScript弹出提示框,通知用户重新登录,并通过`window.location.href`指向注销路径`/user/logout`,从而实现对未登录或...
使用SessionListener+持久化Session+Springmvc拦截器实现单点登录
10-24
以上就是使用`SessionListener`、持久化`Session`和`Springmvc拦截器`实现单点登录的基本原理和实现步骤。通过这样的设计,可以有效地提升用户体验,同时确保系统的安全性。在实际项目中,还需要根据具体需求进行...
使用监听器实现防止用户重复登录的小程序
bo_无问西东
07-21 891
实现思想: 1.要想实现防止用户重复登录,我们自然而然就联想到使用单例模式让实体类只产生一个对象,一个对象中不能存储相同信息的成员。由于通过id不能来获取session对象,我们就将id,和他所对应的的session对象通过集合存储起来,将唯一的用户名和唯一的Id也关联起来,存到另一个集合中。 2.然后就要通过监听器来监听session的信息,因为是防止用户重复登陆,所以我们使用attribute...
SpringMVC使用session实现简单登录
weixin_30776545的博客
10-05 304
1.首先为了能直观地在jsp页面体现session的内容,我使用了jstl表达式,首先在pom.xml中引入jstl的依赖 <!-- jstl所需要的依赖 --> <dependency> <groupId>jstl</groupId> <artifactId>jstl</artifactId...
通用的用户登录过滤器(SessionFilter)
sudooooo的博客
07-11 433
功能描述用于检查用户是否登录了系统,如果未登录,则重定向到指的登录页面。使用方法在 java web 项目的 web.xml 文件中添加如下代码,对每个参数都进行了详细的说明。&lt;!—检查用户是否登录了系统的过滤器配置 开始 --&gt; &lt;filter&gt; &lt;filter-name&gt;SessionFilter&lt;/filter-name&gt; &lt;fil...
java使用过滤器和监听防止用户重复登录
weixin_50216991的博客
10-04 2038
任务描述 相信很多小伙伴都使用QQ聊天工具,那是否遇到过这样的场景呢?当在一台电脑上已经登录QQ,此时因为某些原因需要在另一台电脑再登录相同号码的QQ,登录成功后会发现之前电脑上的QQ下线了。这就是QQ限制了同一个号码在电脑上不能重复登录,我们的Web程序也可以进行重复登录的限制,那么本次任务就是用过滤器和监听器来解决重复登录问题。具体任务如下: 1、未登录时不能访问主界面。 2、登录后,登录信息存储到session中。 3、监听监听session属性值变化。 4、一个浏览器中已经登录,如果在另
session监听防止用户登录重复
毅个混蛋的专栏
11-02 9957
思路,主要是实现一些session监听器的接口,在session中set属性时,判断是不是user对象,然后缓存下来,userName为key,session对象为value, 然后,每次登录的时候去这个缓存中查找是否有这个用户,取出来的session为空则没有,取出来有值,则改用户登录过了, 后面就是自己的逻辑了。 有2种 -------------------------------
Spring 限制用户重复登录
_yuki_
12-12 5931
监听器: import java.util.ArrayList; import java.util.HashMap; import java.util.Iterator; import java.util.List; import java.util.Map; import javax.servlet.http.HttpSession; import javax.servlet.http.
后端逻辑机制实现相关:单一登陆,使用session监听+spring MVC拦截器禁止用户重复登录
心静自然凉zc的博客
07-12 1368
web项目中禁止用户重复登录。一般来说有两种做法:         一是在用户表中维护一个字段(是否在线),用户登录时,设定值为true,用户退出时设定为false,在重复登录时,检索到该字段为true时,禁止用户登录。这种方法有明显的漏洞,及用户在非正常情况退出(关闭浏览器、关机等)是,该字段值一直为true,会导致用户无法登录。          而另一种比较通用的做法是使用session监听...
spring boot security 防止用户重复登录(原创)
热门推荐
zhuyongru的专栏
09-11 1万+
原理:在认证成功通过后,在显示登录成功页面之前,也就是在SavedRequestAwareAuthenticationSuccessHandler类中操作。 添加一个集合sessionMap用于保存认证成功的会话,键名为会话ID, 每次有用户登录认证通过都要判断一下是否重复登录,如果不是继续执行,将会话保存在集合sessionMap里。 如果是就踢除之前登录过的用户的会话,将旧的会话从集合...
Spring MVC 4.1.6 + Spring 4.1.6 + Hibernate 4.3.11 + MySQL 5.5.25 开发环境搭建教程
创建`spring-servlet.xml`文件,这是Spring MVC的配置文件,用来定义视图解析器、组件扫描、数据绑定、拦截器等。例如,你可以配置一个`InternalResourceViewResolver`来解析视图,以及使用`@Controller`注解的组件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值