关于同一账号多人同时登录的token重复问题

最新推荐文章于 2024-06-10 08:52:28 发布
最新推荐文章于 2024-06-10 08:52:28 发布
阅读量5.2k 收藏 7
点赞数
分类专栏: Java基础 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012734723/article/details/107467888
版权

最近在项目上遇到了一个同一账号多终端(或者说多用户)同时登录导致的token重复问题。可以在浏览器相应地做一些防止表单重复提交的操作,比如登录按钮点击一次后变成不可点击的状态,等待服务器的响应之后再恢复成点击状态。不过这也并不能解决同一账号多终端登录的问题。

https://github.com/bluesnail9...

项目中的伪代码如下:

User user = getUser(username,password);
if(null != user) {
    String token = findToken(user);
    if(null != token) {
    user.deleteToken(user);
        token = null;
    }
    if(null == token){
        user.insertNewToken(user);
    }    
}else {
    throw new Exception("用户不存在");
}

想一想:

为什么会出现token重复的问题?因为同一账号多用户(或者多终端)同时登录时都进入到了if(null == token)这个语句,所以就向数据库中插入了多个token,但是按道理,一个账号,只能对应一个token。

那如何解决这个问题呢?

(1)我开始想到的是做一个同步,用synchronized同步语句块。

User user = getUser(username,password);
if(null != user) {
    //使用synchronized做同步
    synchronized(username.intern()){
        String token = findToken(user);
        if(null != token) {
        user.deleteToken(user);
            token = null;
        }
        if(null == token){
            user.insertNewToken(user);
        }     
    }
}else {
    throw new Exception("用户不存在");
}

synchronized括号里的内容应该写什么呢?User实例(对象)?每个线程的User实例都是不一样的。username变量?试了不起作用。username并不是在编译期就可知的,而是在运行期从浏览器传递到后台。修改成username.intern()是可以成功的,intern()方法会在常量池中查找和创建字符串。

(2)使用锁ReentrantLock做同步


//定义锁
private ReentrantLock lock = new ReentrantLock();
User user = getUser(username,password);
if(null != user) {  
    try{
        //获取锁
        lock.lock();
        String token = findToken(user);
        if(null != token) {
        user.deleteToken(user);
            token = null;
        }
        if(null == token){
            user.insertNewToken(user);          
        }     
    }catch(Exception e) {
        e.printStackTrace();
    }finally {
        //释放锁
        lock.unlock();
    }
}

注意:定义一个私有公共的ReentrantLock,获取锁是调用lock()方法,释放锁调用unlock()方法。如果对于每一个线程都需要加锁和释放锁,性能会比较低。

(3)使用数据库的乐观锁实现。

在用户表上添加一个表示版本的字段。每次用户登录添加token时,都需要进行版本的比较,只有版本一致时,才进行添加token操作。

修改后的伪代码如下:

User user = getUser(username,password);
if(null != user) {
    String token = findToken(user);
    if(null != token) {
    user.deleteToken(user);
        token = null;
    }
    if(null == token){
        int version = getUserVersion(user.getId());    
        if(version == user.getVersion()) { 
             updateVersion(version+1,User);
             user.insertNewToken(user);
         }else {
             throw new Exception("同一账号不能同时登录");
         }
    }
}else {
    throw new Exception("用户不存在");
}

当有两个线程进入到if(null == token),第一个线程会修改版本号并插入token,而第二个线程则会因为版本号不一致,抛出异常。

参考文章:

https://blog.csdn.net/u014653...

https://blog.csdn.net/antony9...

bluesnail95
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
token失效自动刷新
qq_42024195的博客
12-29 3309
前言 在开发过程中,我们都会接触到token(令牌),为什么要用token呢?主要的作用就是为了安全,用户登录时,服务器会返回一个有时效性的token,用户的每一次请求都需要携带上token,服务器会验证token的有效性。 需求 在用户登录后给前端发送一个token,并且有效期为72个小时。当token失效时: 1、用户处于非活跃状态(关闭浏览器),当用户再次访问网站时,需要重新登录。 ...
Web-解决同一账号多处登录问题
weixin_50338358的博客
02-02 2262
如果用户通过同一账号在不同浏览器甚至不同ip登录会对账号安全,数据逻辑处理产生巨大隐患,这里介绍几种常见的解决办法: 1.MySql数据库设置登录状态 实现: 在account表中添加字段'isLogin' 登录时,更新为true 退出时,更新为false 当登录时查询该字段,如果为true,就表明该账号登录,阻止这次登录 缺点: 没有设置登录过期时间,账号一直处在登录状态十分不安全 当用户非正常退出,如直接关闭浏览页、设备断电,isLogin无法得到更新,始终处在tru
租户间数据同步问题在多租户环境中,数据同步问题可能导致数据不一致或数据泄露
最新发布
图幻未来的博客
06-10 689
多租户环境中的租户间数据同步问题可以分为两类:数据一致性和数据泄露。多租户环境下的租户间数据同步问题是困扰许多企业的难题。利用AI技术,如分布式数据库系统、区块链技术、数据脱敏加密算法和机器学习算法等,可以有效地解决租户间数据同步问题,确保数据一致性,降低数据泄露风险。然而,在实际应用中,还需要根据具体业务场景和需求进行权衡和选择,以达到最佳的数据同步效果和安全保障。AI赋能 创造无限可能基于网络安全攻防业务数据,采用生成式大模型技术,将传统人工对抗转变为机器与人对抗,提升网络安全智能分析和运营水平。
token(同一账号多端同时登录&同一账号只能在一个设备登录
weixin_44678368的博客
12-31 3037
token(同一账号多端同时登录&同一账号只能在一个设备登录
一个用户如果浏览器打开两个不同的帐套会导致数据混乱
a1192529545的专栏
06-01 2357
数据混乱的原因:同一浏览器窗口同一系统不同用户同时登陆时共享同一个session(是否共享取决于浏览器本身,我们无法控制) 仔细剖析:第一个人登陆,浏览器创建session,后台也根据sessionid创建session;同一浏览器窗口,第二个人登陆,浏览器不再创建新的session,而是将第二个人的信息保存到原来的session中(将原来的用户信息覆盖) 解决方法:同一个窗口只允许一个用户登
如何解决短时间内重复获取的token相同
betterKeKe的博客
11-18 3392
如何解决短时间内重复获取的token相同问题 使用jwt生成token时,由于playload部分有控制有效时间,但在同一时间连续生成,就会造成token相同。 会出现相同token的写法: //载荷 标准声明 公共声明 私有声明 let playload = { iat: Date.now(), //签发时间 exp: Date.now() + 1000 * 10 * 60 //过期时间 10分钟 } 解决方法一
同一账号禁止多人同时登陆
06-06
在IT行业中,尤其是在开发网络应用或者服务时,"同一账号禁止多人同时登录"是一个重要的安全性设计原则。这个原则主要是为了保护用户的账号安全,防止未经授权的访问和数据泄露。以下是对这个知识点的详细解释: ...
Java Web开发防止多用户重复登录的完美解决方案
09-01
在Java Web开发中,防止多用户重复登录是一个重要的安全措施,确保每个账号只能在一个设备或浏览器会话中活跃。常见的解决方法有两种,本文主要探讨第二种方案。 首先,第一种解决方案是通过在数据库中添加一个标志...
Jmeter接口登录获取参数token报错问题解决方案
08-18
然而,在实际操作中,我们可能会遇到登录过程中获取参数 `token` 报错的问题。本篇将详细介绍如何解决这个问题。 首先,`token` 是一种常见的安全机制,用于验证请求的合法性。在登录接口中,服务器通常会返回一个...
同一账号不能两次登陆实现示例
03-26
这个功能的主要目的是防止同一账号在不同的设备或者浏览器上同时登录,以避免账号被盗用或者未经授权的操作。下面我们将详细探讨这一功能的实现原理、方法以及相关技术。 首先,实现这一功能的关键在于状态管理和...
登录生成双token的理解
m0_64479814的博客
04-21 4867
token机制是为了提高系统安全性而采用的一种措施。它指的是在登录成功后,会生成两个token返回给客户端::用于访问受限资源,有一定的生命周期,过期需要重新获取。:用于刷新Access Token,生命周期较长。
vue同一浏览器登录不同账号,覆盖token的解决办法
cj505061767的博客
01-27 9352
同一个浏览器登录不同账号,感觉没什么问题,但是会有可能出现大问题,第二个登录的会把第一个登录token覆盖掉,导致第二个登录用户会操作第一个登录者的某些数据,这里介绍一个解决办法。 1、登录窗口登录了A账户,再复制相同的url,登录B账户 针对简单的A登录,然后换B登录,只要登陆了就可以去任意跳转,简单处理,直接上代码 main.js outer.beforeEach((to,from,next) => { //这里是在所有路由跳转之前都会去执行以下操作 if(to.path == '.
vue后台管理系统,两个页面登录两个账号,后一个账号token信息会覆盖前一个账号
baidu_39009276的博客
09-30 2349
vue后台管理系统,两个页面登录两个账号,后一个账号token信息会覆盖前一个账号
token详解及常见防范措施;远程命令、代码执行漏洞原理及案例演示
qq_44696653的博客
05-05 1805
Token是如何防范CSRF的? CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不被伪造呢? 可以每次请求都增加一个随机码。 每次对敏感信息进行修改时后端都会调用一个函数随机生成一个随机码。 在pikachu实验平台进行实际的演示: 在csrf token模块登陆进行数据修改用burpsuite对操作进行抓包处理。 可以看到GET请求为GET /pikachu/vul/csrf/...
如何防止机器模拟请求
Leon_Jinhai_Sun的博客
11-15 1163
Token机制,防止页面重复提交  业务要求:页面的数据只能被点击提交一次   发生原因:由于重复点击或者网络重发,或者 nginx 重发等情况会导致数据被重复提交 解决办法: 集群环境:采用 token 加 redis(redis 单线程的,处理需要排队) 单 JVM 环境:采用 token 加 redis 或 token 加 jvm 内存 处理流程: 数据提交前要向服务的申...
oauth2不管输入什么帐号获取的token都是一样的
Mr_yiyang的博客
08-20 1217
今天发生了一件很奇怪的事,我调用oauth/token接口发现我传什么用户名得到的token都是一样的。 我就奇了怪了,很明显问题出在我之前的设置上。 为了让用户可以通过手机号登录,我就重写了UserDetailService里面的loadUserByUsername让他去找phone字段而不是username字段,试了两下很正常,通过输入phone字段下的手机号可以正常返回token然后我就没多想。 后来写注册接口的时候没有管username字段让他一直为空。 然后问题就出现了,这几个username为空
PHP 实现基于用户 token 验证的防异处登录
相逢不晚的博客
01-07 2188
1、使用场景 某些业务场景需限定一个账号只能同时在一个设备登录。 防异处登录多用于 APP 中,需配合 API 接口使用。 基于 API 接口实现,在实际线上生产环境中,API 接口是需要做验证的,即不是随便被请求就可以拿到数据的。需要对包括但不限于对用户登录成功返回的标识、token等的验证。 2、实现思路 用户注册完成后每次登录时,随机生成一个随机码 再把用户账号+密码+随机码按照一定顺序和...
同一浏览器和同一平台登录多个账号,提示账号切换为最新登录的用户\或退出
zccmp20的专栏
08-11 2583
失败方案一:通过cookie存储两个token 在操作是进行对比,不同进行提示用户已切换 失败原因 : 同一用户多次登录token也是不相同的,不应该进行提示 失败方案二:存储两次登录获取到的账号名,在操作时进行对比,不同进行提示用户已切换 失败原因 : 当用户刷新浏览器时存储的cookie会进行覆盖,因此对比不出,无法提示用户 此时通过覆盖cookie来进行对比判断就行不通了,需要每个标签页都单独存储登陆的信息,cookie中存储最后登录者的信息,当旧的标签进行时,使用...
多人共用一个linux账号,git提交的时候如何区分git用户
09-17
### 回答1: 首先,你可以在每次提交时设置不同的用户名和邮箱,以此来区分不同的用户。此外,你也可以使用git config --global user.name "[name]"和git config --global user.email "[email address]"来设置不同用户的配置,这样就可以轻松区分git用户了。 ### 回答2: 多人共用一个Linux账号时,可以通过配置Git的全局用户名和邮箱来区分各个用户的提交记录。 首先,每个用户需要在他们自己的机器上配置Git的全局用户名和邮箱。可以使用以下命令: ``` git config --global user.name "Your Name" git config --global user.email "your_email@example.com" ``` 每个用户需要将"Your Name"替换为自己的名字,将"your_email@example.com"替换为自己的邮箱。 这样,每个用户在使用该Linux账号进行Git提交时,他们的提交记录中将包含他们的名字和邮箱信息。 当需要查看提交记录时,可以使用以下命令: ``` git log ``` 这将会显示所有的提交记录,包括每次提交的作者信息。 如果需要只查看某个特定用户的提交记录,可以使用以下命令: ``` git log --author="Your Name" ``` 将"Your Name"替换为具体的用户名,这将会显示该用户的所有提交记录。 通过上述方法,即使多人共用一个Linux账号,也能够区分各个用户的Git提交记录。 ### 回答3: 多人共用一个Linux账号时,每个人可以在自己的个人目录下创建自己的Git仓库来提交代码,通过Git的用户名和邮箱来区分不同的Git用户。 首先,每个用户可以在Linux系统中创建自己的账号,并在创建账号时设定一个唯一的用户名。然后,每个用户在自己的Linux账号目录下创建一个Git仓库,可以使用Git命令`git init`来初始化一个新的Git仓库。 接下来,每个用户可以使用`git config`命令设置自己的用户名和邮箱,命令示例如下: ``` git config --global user.name "User1" git config --global user.email "user1@example.com" ``` 通过`--global`参数,设置的用户名和邮箱将应用于该用户的所有Git仓库,并在每次提交代码时记录到Git提交日志中。 在使用Git提交代码时,每个用户需要切换到自己的仓库目录,然后运行`git add`将要提交的文件添加到暂存区,再运行`git commit`将暂存区的文件提交到本地仓库。提交命令示例: ``` cd /path/to/user1/repo git add file.txt git commit -m "Add new file" ``` 每个用户可以根据自己的需要提交不同的代码,并且每次提交都会记录相应的用户名和邮箱。这样,在查看Git提交历史时,可以通过用户名和邮箱区分不同的用户。 需要注意的是,多人共用一个Linux账号时要注意协作和权限管理,避免不必要的冲突和权限问题。最好还是建议每个人都有自己独立的Linux账号来管理自己的Git代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值