如何防止同一账号多次登录

最新推荐文章于 2023-06-30 16:00:24 发布
最新推荐文章于 2023-06-30 16:00:24 发布
阅读量2.3k 收藏 10
点赞数
文章标签: python 数据库 java
原文链接:https://my.oschina.net/u/3544533/blog/1796623
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

如何限制同一客户端登录的用户数量以及禁止同一用户同时在不同客户端登录:

首先确定解决这两个问题的基本思路:

    1、要解决同一台电脑上只允许有一个用户登录系统,只有一个办法。监视每一个连接的来源,如果发现有一个新的连接与某个已经存在的连接来自同一台电脑,则终止其中的一个(当然,也可以提醒用户,让他自己决定终止哪一个)。

    2、要禁止一个用户账号同时在不同的客户端登录,只有监视每一个连接的用户账号,如果发现一个新连接的用户账号跟某个已经存在的连接的用户账号相同,则自动将前一个终止(同样,也可以让用户自己决定终止哪一个)。

常见3种解决办法:

1)通过数据库状态位判断该用户是否已经登录。

       首先在数据库建立一张表,存放已登录用户的用户名、物理地址、Session id等信息。当用户登录时,与这张表里面的数据进行匹配,如果发现物理地址与表中的某条记录相同,则表示是同一台客户端上有多个用户再登录,如果发现正在登录的用户的用户名与表中已有记录相同而主机名不同,则表示是一个账号同时在不同的客户端使用。

    相信很多一开始遇到这个问题的人都会考虑这种解决办法。但是这种办法有很多问题,最主要的问题有两个:第一是效率,每一次都要从数据库里面取数据进行匹配。第二是用户退出时需要删除表中的记录,而当用户非正常退出时,很难及时监测(后来发现其实有办法监测)。

2)利用缓存Cache方便地实现此功能

       Cache与Session这二个状态对像的其中有一个不同之处,Cache是一个全局对象,作用的范围是整个应用程序,所有用户;
而Session是一个用户会话对象,是局部对象,用于保存单个用户的信息。 
只要把每次用户登录后的用户信息存储在Cache中,把Cache的Key名设为用户的登录名,Cache的过期时间设置为Session的超时时间,在用户每次登录的时候去判断一下Cache[用户名]是否有值,如果没有值,证明该用户没有登录,否则该用户已登录。

/// <summary>
/// 防止多次登录
/// </summary>
/// <param name="sender"></param>
/// <param name="e"></param>

private void Button1_Click(object sender, System.EventArgs e)
{
string strUser = string.Empty;
string strCacheKey = this.TextBox1.Text;
 
strUser = Convert.ToString(Cache[strCacheKey]);
 
if (strUser == string.Empty)
{
TimeSpan SessTimeOut = new TimeSpan(0, 0, System.Web.HttpContext.Current.Session.Timeout, 0, 0);
 
Cache.Insert(strCacheKey, strCacheKey, null, DateTime.MaxValue, SessTimeOut, CacheItemPriority.NotRemovable, null);
Session["User"] = strCacheKey;
this.Label1.Text = Session["User"].ToString();
}
else
{
this.Label1.Text = "这个用户已经登录!";
}
}

3)利用session监听器监听每一个登录用户的登录情况。

简洁版方法(c# 框架):

监听器可以监听Session及其所包含的属性,即Attribute。

A.用户登录后,先去数据库查询该登录名是否存在、是否锁定。

       在登录名存在且非锁定的情况下,从application内置作用域对象中取出所有的登录信息,查看该登录名是否已经登录,如果登录了,就友好提示下;反之表示可以登录,将该登录信息保存在application中。

主要代码如下:


//所有的登录信息
Map<String, String> loginUserMap = (Map<String, String>) super.getApplicationAttr(Constant.LOGIN_USER_MAP);
boolean isExist = false;
String sessionId = super.getSessionId(false);
if(loginUserMap==null){
loginUserMap = new HashMap<String, String>();
}
for (String username : loginUserMap.keySet()) {
//判断是否已经保存该登录用户的信息,是否为同一个用户进行重复登录
if(!username.equals(user.getFuUserName()) || loginUserMap.containsValue(sessionId)){
continue;
}
isExist = true;
break;
}
if(isExist){
//该用户已登录
//
}else {
//该用户没有登录
loginUserMap.put(result.getFuUserName(), sessionId);
//
}
//

B.登录考虑完之后,考虑退出。
      用户正常退出时,我们需要将该用户的登录信息从session中移除。我们可以写一个Session监听器,监听sessioon销毁的时候,我们将登录的用户注销掉,也就是从application中移除。表示该用户已经下线了。

//
public void sessionDestroyed(HttpSessionEvent event) { 
  //  
  //在session销毁的时候 把loginUserMap中保存的键值对清除 
  User user = (User)event.getSession().getAttribute("loginUser"); 
  if(user!=null){ 
    Map<String, String> loginUserMap = (Map<String, String>)event.getSession().getServletContext().getAttribute("loginUserMap"); 
    loginUserMap.remove(user.getFuUserName()); 
event.getSession().getServletContext().setAttribute("loginUserMap",loginUserMap); 
  } 
  //
} 
//

C.登录的用户突然关闭了浏览器,未点击退出按钮,情况,虑退出。

那么可以利用beforeunload 事件,在浏览器刷新或者关闭的时候触发。

//在刷新或关闭时调用的事件
$(window).bind('beforeunload',function(){
 $.ajax({
  url:"${ctx}/system/user/user!logout.action",
  type:"post",
  success:function(){
   alert("您已退出登录");
  }
 });
});

完整版方法(Java ee 开发框架):

1 ) 在登录方法中加入如下两行语句,作为程序的入口:


SessionListener.isAlreadyEnter(getHttpRequest().getSession(),this.getUserCode(),loginUser);  
getHttpRequest().getSession().setAttribute("isLoginIn", "LoginIn");

2)在SessionListener类中做相关的踢出处理:

import java.util.HashMap;  
import java.util.Iterator;  
import java.util.Map;  
import javax.servlet.ServletRequestEvent;  
import javax.servlet.ServletRequestListener;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpSession;  
import javax.servlet.http.HttpSessionAttributeListener;  
import javax.servlet.http.HttpSessionBindingEvent;  
import javax.servlet.http.HttpSessionEvent;  
import javax.servlet.http.HttpSessionListener;  
import org.apache.struts2.ServletActionContext;  
import com.hhwy.iepip.framework.message.Message;  
import com.opensymphony.xwork2.ActionContext;  
    
public class SessionListener implements HttpSessionListener,ServletRequestListener,HttpSessionAttributeListener{    
    public static Map<String, HttpSession> sessionMap = new HashMap<String, HttpSession>();  
    public static Map<String, HttpSession> sessionMap1 = new HashMap<String, HttpSession>();  
    private static Boolean onlyOne = Boolean.valueOf(Message.getMessage("session.onlyone"));  
    private HttpServletRequest request ;  
      
    //获取request对象 
    public void requestInitialized(ServletRequestEvent event) {  
        request = (HttpServletRequest)event.getServletRequest();  
    }                      
      
    //以下是实现HttpSessionListener中的方法:该方法登录与否都会执行   
    public void sessionCreated(HttpSessionEvent se){  
    }  
      
    //以下是实现HttpSessionListener中的方法   
    public void sessionDestroyed(HttpSessionEvent se){    
        hUserName.remove(se.getSession().getId());  
        UserObject.remove(se.getSession().getId());  
        if(sessionMap!=null){  
            sessionMap.remove(se.getSession().getId());  
        }  
        if(sessionMap1!=null){  
            sessionMap1.remove(se.getSession().getId());  
        }  
    }     
    /**    
      * isAlreadyEnter-用于判断用户是否已经登录以及相应的处理方法    
      * <该方法是系统业务的方法,不是处理单个用户登录的问题,以该方法做为程序的入口> 
      */     
    public static boolean isAlreadyEnter(HttpSession session,String sUserName,LoginUserInfo loginTriggers){     
        boolean flag = false;     
        return flag;     
    }     
  
     /** 
      * 此方法,可以在登录时候添加一个session 用以判断是否已经登录,然后再进行登录人登录控制 
      */  
    public void attributeAdded(HttpSessionBindingEvent event) {  
    //如果只允许一个账号一处登陆,单台客户端电脑只允许一个用户登录  
        if(onlyOne.booleanValue()){  
            String name = event.getName();  
            if(name.equals("isLoginIn")){                 
            // 单台客户端电脑只允许一个用户登录  
            String ipAddr = this.getIpAddr(request);             
            //如果原先已登录,则踢出原先登陆的         
            if(sessionMap1.containsKey(ipAddr) ){  
                try{        
                sessionMap1.get(ipAddr).invalidate();  
                }catch(Exception e){}  
                sessionMap1.remove(ipAddr);  
                }       
            if(ipAddr != null  && event.getSession().isNew())  
                sessionMap1.put(ipAddr, event.getSession());  
                  
            //只允许一个账号一个客户端登陆  
            String userName= getUserName(event);         
            if(sessionMap.containsKey(userName) ){  
                try{  
                sessionMap.get(userName).invalidate();  
                }catch(Exception e){}  
                sessionMap.remove(userName);  
                }  
                if(userName != null  && event.getSession().isNew())  
                     sessionMap.put(userName, event.getSession());      
            }  
        }  
    }  
  
    public static String getIpAddr(HttpServletRequest request) {  
    String ip = request.getHeader("x-forwarded-for");  
    if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
        ip = request.getHeader("Proxy-Client-IP");  
    }          
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
        ip = request.getHeader("WL-Proxy-Client-IP");  
    }  
    if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
        ip = request.getRemoteAddr();  
    }  
    return ip;                  
    }    
      
    //获取session中存储的用户名
    private String getUserName(HttpSessionBindingEvent se) {  
    String userName = null;  
    return userName;  
    }  
      
    public void attributeRemoved(HttpSessionBindingEvent event) {  
    // TODO Auto-generated method stub  
    }  
  
    public void attributeReplaced(HttpSessionBindingEvent arg0) {  
    // TODO Auto-generated method stub  
    }  
      
    public void requestDestroyed(ServletRequestEvent arg0) {  
    // TODO Auto-generated method stub  
    }  
}

 

转载于:https://my.oschina.net/u/3544533/blog/1796623

weixin_34319817
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C#有效防止同一账号多次登录(附三种方法)
09-03
主要介绍了C#有效防止同一账号多次登录的方法,有效防止同一账号多次登录的方法很多,比如用数据库来记录用户登录情况、用Application来保存用户登录信息、用Cache来保存信息等,感兴趣的小伙伴们可以参考一下
web网页——用户登录防止重复登录同一账号后者登录前者被强制退出。
haha57的博客
05-16 1万+
最近在研究网站的开发,其中遇到一个问题就是同一账号重复登录。要求是同一账号只能一个地方登录重复登录时后者挤掉前者,前者提示被强制退出。根据这一需求我在网上搜了很多资料,参考许多前辈的总结,最终自己研究出来一个版本,我采用的获取sessionId,以sessionId识别是否为重复登录。1.在用户表加一列或单独建一张关联表,用于记录当前登录的sessionId,每次登录这一列值都要做修改。2.用户...
Java Web防止用户重复登录同一用户同时登录)的一种实现方案
热门推荐
程裕强的专栏
09-28 2万+
1.思路在Java web项目中,有时需要防止用户重复登录,解决方案有多种。 这里给出一个简单的解决方案:在处理登录的login方法中,先查询数据库验证下该用户是否存在,如果存在 判断该登录账户是否已经锁定了, 然后从application内置作用域对象中取出所有的登录信息,查看该username账户是否已经登录,如果登录了,就友好提示下,反之表示可以登录,将该登录信息以键值对的方式保存在appl
Java Web防止用户重复同一用户同时)登录实现方式
从员到猿的博客
07-25 1万+
相信我们在开发web工程的时候,都会遇到同一用户可以同时登录进系统的问题。对于开发的时候我们可能不是太关注这个问题,但对客户来说,他们肯定觉得是不可以的。那么我们在日常开发的过程中有几种解决方案。 1、如果我们的项目使用的是 Spring 框架的话,Spring security 就可以实现防止用户重复登录的问题。当然有些web工程可能对于权限的控制要求没有那么严格,单单为了一个登录功能去实现S...
防止多用户登录同一帐号
04-15
如果用户没有登陆,则登陆,并将登陆信息放到application, 信息为用户id,用户sessionid,用户登陆时间,登陆IP 如果用户已登陆,则每次请求要检查application, 一旦用户id相同而sessionid不同,即表明该用户在其它地方登陆, 当前登陆无条件注销 注销过程为:将当前session失效,转到登陆页面, 提示用户该用户id已在哪机器什么时间登陆了,当前登陆已注销 web.xml添加filter: SingleFilter org.com.filter.SingleFilter SingleFilter /*
Windows系统设置禁止或者允许多人登录同一账号,并关闭注销连接进程
m0_68209386的博客
05-31 1753
Windows系统设置禁止或者允许多人登录同一账号,并关闭注销连接进程
Django——限制用户不能同时在多个浏览器进行登录
健仔自学的博客
05-09 2136
1、在对应的user表中添加一个字段(sid)用来存放sessionid,建议用缓存的方式存放,这里因为没有配置redis数据库所以直接用mysql 2、用户登录视图类 # 比较懒,所以就全部复制进来了,没有挑出来 from django.shortcuts import render,redirect,reverse from django.views import View from user.models import User from django.contrib.auth import auth
django写注册登录接口,并解决重复登录的问题
qq_37605109的博客
06-21 863
python写注册登录接口
django限制用户重复登陆
weixin_34126215的博客
09-18 4026
总体思路: 找出所有有效的session,然后从session中反解出所对应的用户信息,判断当前待登陆的用户是否已存在有效的session,如果有,则代表已登陆过,否则未登录。 代码实现: from django.contrib.sessions.models import Session from djang.utils import timezone valid_session_obj_l...
php有效防止同一用户多次登录
10-23
主要介绍了php有效防止同一账号同一时间多次登录的方法,感兴趣的小伙伴们可以参考一下
.net C# 利用session控制用户重复登录及统计在线用户数解决方案
12-05
该例程利用session全面解决了用户在线数量统计及控制用户重复登录
一个账号同一时间只能登录一次
01-17
一个JavaWeb小例子,实现一账号同一时间只能登录一次。附完整代码和数据库
使用Map简单实现同一账号不能两个地方同时在线
zhanghe687的博客
08-10 238
使用Map简单实现同一账号不能两个地方同时在线
实现同一账号在不同设备登录时互相顶掉的功能
最新发布
m0_69057918的博客
06-30 874
实现同一账号在不同设备登录时互相顶掉的功能
Django 简易实现用户保持登录状态2月
weixin_30615767的博客
01-03 188
在settings.py中配置: 1 # 默认不保持登录状态,如果改False保持2个月不用登录2 SESSION_EXPIRE_AT_BROWSER_CLOSE = True3 SESSION_COOKIE_AGE = 5184000 增加中间键: from django.conf import settingsclass KeepLoginMiddleware(obje...
Java解决单个账户并发登录限制多个浏览器或同一浏览器登录同个一账号
Zxdwr520的博客
07-30 3250
同一账号多处浏览器登录,查询相同的信息 解决办法:在登录的方法,先取全局变量的userName,同时判断一下和传下来参数是否一样,在return前在保存全局变量 在退出登录方法清除全局变量 @Autowired private IUserService userService; private static SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"); private static fi...
Django 实现有点安全的网站登录认证机制——注册页面的用户枚举
Bcdfxg的博客
12-05 518
前面讲了用户枚举这个漏洞以及一些常规的防护方法,现在再补充讲另一种略微不同的用户枚举漏洞的存在情况——在注册页面存在的用户枚举
Java防止用户同一时间重复登录(包括异地登录
Brave的博客
07-22 3573
有时候我们在做登录模块过程中难免会遇到这种问题,即使我们给用户进行了多重判断,比如:用户名,管理员,验证码,一系列的判断… 你是否真正考虑到用户的体验,比如不能让用户在同一时间,同一个浏览器重复登录问题,同时也包括不同浏览器登录(异地登录)问题。 这些都是我们应该去考虑的。如果是用Spring 框架的话,Spring security 是可以实现防止用户重复登录的问题的,但我这里并没有用到框架,因...
java确定同一用户登录_java保持同一时间同一账号只能在一处登录
weixin_42576804的博客
02-25 667
//登录页面 login.jsppageEncoding="UTF-8"%>登录String msg = (String)(request.getAttribute("msg")==null?"":request.getAttribute("msg"));%>function show(){if(''!=''){alert('');}}用户登录用户名密 码//主页面 main.jspp...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值