怎么实现同一账号只能在一台设备登录

最新推荐文章于 2024-06-07 14:53:32 发布
最新推荐文章于 2024-06-07 14:53:32 发布
阅读量8.6k 收藏 52
点赞数 7
分类专栏: java 解决方案 文章标签: java 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38295272/article/details/117964982
版权

同一账号只能在一台设备登录实现思路。

注意:登录是在白名单(直接放行的接口)。生成的token携带账号信息。

1.用户每次登录生成token时,将账号当成key,token当成value,以token的过期时间存入redis中。

2.用户访问的时候,在拦截器解析token,获取账号,拿账号去redis中获取value,如果是value的token与当前用户携带过来的token一致就放行。如果不一致,则告诉前端重复登录,让前端清除token,跳转到登录页面。

3.用户在另一台设备登录时,也是存入redis,这样就刷新了token的值和redis的过期时间。

这是我的一个实现思路,有没有大佬可以指点,互相学习一下。
在这里插入图片描述
写了个小demo,主要代码如下:

1.拦截器代码:

package com.yblue.config;


import com.yblue.dto.Payload;
import com.yblue.dto.UserInfo;
import net.minidev.json.JSONObject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.http.HttpMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.List;

/**
 * @author: JiaXinMa
 * @description: 解决跨域和权限
 * @date: 2021/3/26
 */
public class AuthInterceptor implements HandlerInterceptor {
    @Autowired
    FilterProperties filterProperties;

    @Autowired
    JwtProperties jwtProps;

    @Autowired
    StringRedisTemplate redisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        //表示接受任意域名的请求,也可以指定域名
        response.setHeader("Access-Control-Allow-Origin", request.getHeader("origin"));

        //该字段可选,是个布尔值,表示是否可以携带cookie
        response.setHeader("Access-Control-Allow-Credentials", "true");

        response.setHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, PATCH, DELETE, OPTIONS");

        response.setHeader("Access-Control-Allow-Headers", "*");

        //预请求,这里可以不加,但是其他语言开发的话记得处理options请求
        // 如:异步请求的时候前端发两次请求,其中一次是测试通不通
        if (HttpMethod.OPTIONS.toString().equals(request.getMethod())) {
            return true;
        }
        //获取当前访问的URL接口后的路径
        String uri = request.getRequestURI(); //如:/api/user/xxx

        //判断uri地址,如果为 /error 则可能是请求方式、参数、访问路径不对
        if (uri.equals("/error")) {
            this.responseError(response, 405, "请求方式、参数类型、访问地址错误、数据库方面异常!");
            return false;
        }

        //1.判断当前访问路径是否在白名单列表中
        List<String> allowPaths = filterProperties.getAllowPaths();
        for (String allowPath : allowPaths) {
            if (uri.contains(allowPath)) {
                //如果在,直接放行了
                return true;
            }
        }


        //2.校验token合法性
        Payload<UserInfo> payload = null;
        try {
            String token = request.getHeader(jwtProps.getCookie().getCookieName());
//            String token = CookieUtils.getCookieValue(request, jwtProps.getCookie().getCookieName());
            payload = JwtUtils.getInfoFromToken(token, jwtProps.getPublicKey(), UserInfo.class);

            String redisToken = redisTemplate.opsForValue().get(payload.getInfo().getUsername());
            if (token.equals(redisToken)) {
                return true;
            } else {
                this.responseError(response, 401, "您的账号在另一台设备上登录,请及时修改密码!");
            }
        } catch (Exception e) {
            this.responseError(response, 401, "登录失效或未登录!");
            return false;
        }

        //3.如果你的想校验权限、角色,可以在你的userInfo里封装,然后在下面验证,不过我现在的userInfo没放
//        UserInfo userInfo = payload.getInfo();
//        List<Module> modules = userInfo.getModules();
//        for (Module module : modules) {
//            if (uri.equals(module.getUrl())) {//判断用户是否有访问路径的权限
//                return true;
//            } else {
//                this.responseError(response, 403, "权限不足!");
//            }
//        }

        return false;
    }

    /**
     * @author: JiaXinMa
     * @description: 响应错误代码 处理响应错误信息的方法,可以拿去用
     * @date: 2021/8/23
     */
    public void responseError(HttpServletResponse response, Integer code, String returnMessage) {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        JSONObject jsonObject = new JSONObject();
        try {
            jsonObject.put("code", code);
            jsonObject.put("msg", returnMessage);
            response.getWriter().append(jsonObject.toString());
        } catch (Exception e) {
            e.printStackTrace();
        }
    }


    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }

}

2.业务层代码:

package com.yblue.service;


import com.yblue.config.JwtProperties;
import com.yblue.config.JwtUtils;
import com.yblue.domain.User;
import com.yblue.dto.Payload;
import com.yblue.dto.UserInfo;
import com.yblue.exception.pojo.ExceptionEnum;
import com.yblue.exception.pojo.MdException;
import org.joda.time.DateTime;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;

import java.util.HashMap;
import java.util.Map;
import java.util.concurrent.TimeUnit;

/**
 * @author: JiaXinMa
 * @description: 验证授权 Service层
 * @date: 2021/3/25
 */
@Service
@Transactional
public class AuthService {

    @Autowired
    UserService userService;

    @Autowired
    private JwtProperties jwtProps;

    @Autowired
    private StringRedisTemplate redisTemplate;

    /**
     * @author: JiaXinMa
     * @description: 登录
     * @date: 2021/5/28
     */
    public Map login(String username, String password) {
        try {
            Map<String, Object> map = new HashMap();//存放token和用户信息

            //1. 判断用户名和密码是否正确
            User loginUser = userService.findUserByNameAndPwd(username, password);

            UserInfo userInfo = new UserInfo(loginUser.getUserId(), loginUser.getName(), loginUser.getUsername());

            //2.生成token
            String token = this.generateToken(userInfo);
            map.put(jwtProps.getCookie().getCookieName(), token);
            map.put("userInfo", userInfo);


            //3.将token放进redis中
            redisTemplate.opsForValue().set(loginUser.getUsername(), token, 60, TimeUnit.MINUTES);

            return map;
        } catch (Exception e) {
            throw new MdException(ExceptionEnum.INVALID_USERNAME_PASSWORD);
        }
    }

    /**
     * @author: JiaXinMa
     * @description: 生成token
     * @date: 2021/4/6
     */
    public String generateToken(UserInfo info) {
        //利用JwtUtils+私钥生成加密token
        //以前是的工具类是通过cookies带过去了,然后现在他们说要放在请求头上,所以那些类名字没改,不妨碍业务的使用
        return JwtUtils.generateTokenExpireInMinutes(info, jwtProps.getPrivateKey(), jwtProps.getCookie().getExpire());
    }
}

3.控制层代码

package com.yblue.controller;

import com.yblue.domain.User;
import com.yblue.service.AuthService;
import com.yblue.service.UserService;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;

import java.util.Map;

/**
 * @author: JiaXinMa
 * @description: 验证 控制器
 * @date: 2021/5/28
 */
@Slf4j
@RestController
@RequestMapping("/api")
public class AuthController {

    @Autowired
    AuthService authService;

    @Autowired
    UserService userService;

    @PostMapping("/auth/login")
    public Map login(@RequestBody User user) {
        log.info("/api/auth/login:{}", user);
        return authService.login(user.getUsername(), user.getPassword());
    }

    @GetMapping("/user/findByUserId")
    public User findByUserId(@RequestParam("userId") Integer userId) {
        log.info("/api/user/findByUserId:{}", userId);
        return userService.findByUserId(userId);
    }
}

效果如下图:

第一次:
在这里插入图片描述
第二次:
在这里插入图片描述
如果有些小伙伴有更好的解决方案或者觉得该方案有什么不足的,可以提出来一起讨论交流。

想看更多精彩内容,可以关注我的博客园
我的博客园

Yblue~
关注
  • 7
    点赞
  • 52
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
Java同一账号限制同时登录
04-14
Java实现同一账号限制同时登录,里面是源码,写得很清楚。利用application实现的,入门选手的福利
怎么避免一个账号多处同时登录
03-29
怎么避免一个账号多处同时登录 提问者:hty4000 提问时间:2009-02-17 10:26:49 怎么避免一个账号多处同时登录 最佳答案 找到D:\MYOA\webroot\inc\oa_config.php,修改$ONE_USER_MUL_LOGIN值。 //-- 是否允许多人用同一帐号同时登录 -- $ONE_USER_MUL_LOGIN = 0; //1 允许; 0 禁止;
springboot实现一个账号同时只能登录一个设备,其他设备登录登录之前登录账号强制下线
最新发布
2301_80333628的博客
06-07 397
这里每次登录的时候不仅会将token返回给前端,同时也会将token存到数据库里。目的就是通过对token的比较判断用户是否已经登录,如果数据库里有token,并且数据库里的token和此次登录的token不一致,说明已经有用户登录过了,此次登录的时候就会更新数据库里的token,之前登录的用户的登录状态就会失效了。因为没有使用redis,使用jwt生成的token也不会存在redis,将登录信息生成token,将生成的token以及用户信息一并返回给前端,前端每次访问后端的接口都会携带token过来。
filter过滤器实现权限访问控制以及同一账号只能登录一台设备
01-18
filter过滤器实现权限访问控制以及同一账号只能登录一台设备
怎样在同一终端上多帐号登陆同一服务器?
CodeJoker的专栏
06-29 2607
<!-- document.domain = "csdn.net";// -->有时候为了玩网页游戏需要在同一机器上登陆多个帐号,但是服务器使用了cookie来保存你的会话信息,所以正常情况下使用同一种浏览器只能登陆同一服务器上的一个帐号。 为实现目标有两种做法:1) 使用几种不同的浏览器(如:firefox, ie, moz
如何实现同一账号只能在一台设备登录
BradenHan的专栏
01-20 948
同时,为了提升用户体验,应提供相应的操作接口(如主动退出登录、将登录设备强制下线等)。每次用户的登录请求都会查询数据库中的登录表,检查是否存在该用户的登录记录。在用户登录时,记录用户的账号信息、登录设备的唯一标识符(如设备ID或IP地址)以及登录时间等信息到数据库中的一个登录表。如果当前设备登录设备不匹配,拒绝登录并提示用户在其他设备上已登录。当用户在另一台设备上尝试登录时,由于令牌无效或与登录设备不匹配,服务器会拒绝登录。当用户主动退出登录或令牌过期时,需要重新进行登录操作获取新的令牌。
token(同一账号多端同时登录&同一账号只能在一个设备登录
weixin_44678368的博客
12-31 3015
token(同一账号多端同时登录&同一账号只能在一个设备登录
java只允许第一个用户处理_实战:第一章:防止其他人通过用户的url访问用户私人数据...
weixin_36098128的博客
02-28 370
解决思路:防止其他人通过用户的url访问用户私人数据思路一:url中放入userId,根据url中的usrId和session中保存的userId 进行匹配判断是否是本人访问,这样会将userId暴漏在url中,不安全。解决方案:url做成通用的,数据请求需要用户自己主动触发(百度的)(不建议使用)思路二:访问都需要登陆操作,session中放入userId, 记录中放入userId,每次访问的时...
Java 单点登录--只能在一台设备登录
只会CV也没关系的
10-24 581
还没支持单点登录
JWT和单点登录
每天都充一点电
09-17 706
JWT和单点登录
【Java】利用Token进行登录控制以及限制接口访问
qq_42666609的博客
09-04 748
使用Token进行登录认证功能;用户登录后获取Token,调用固定规则接口需要在请求头中传入Token才可调用接口否则提示相应异常;
java中如何实现同一账号不能同时登录
12-28
在Java中,实现同一账号不能同时登录是非常重要的一点,以下我们将讨论两个方法来实现这一点。 首先,让我们看一下第一种方法。在这个方法中,我们首先在baseAction中或者直接在action中写一个方法,并将其静态map...
SpringMVC实现账号只能在一处登陆
08-31
* 在实现账号只能在一处登陆时,需要注意的是,需要在登陆时校验 Map 中是否已存在此账号,如果不存在则将账号和 sessionID 的对应关系存放到静态 Map 中。 * 在拦截器中,需要判断请求的 sessionID 和静态 Map 中此...
同一个账号,同一时间只能允许他登录一次
12-03
如果检测到同一账号在另一处尝试登录,服务器会检查当前已存在的session,如果发现该账号已经在线,就拒绝新的登录请求。 在JSP中,实现这一功能的步骤如下: 1. 用户首次登录时,服务器验证其用户名和密码。如果...
java通过拦截器实现一个账号只能在一处登录
qq_32914323的博客
02-20 1754
写存session的map类 package org.tonny.util;   import java.util.HashMap; import java.util.Map;   public class SessionMapData {   private static Map&lt;String, String&gt; sessionIDMap = new HashMap&lt...
SpringBoot集成JWT
飞鸟的轨迹
02-23 6704
JWT介绍 JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允...
Web-解决同一账号多处登录的问题
weixin_50338358的博客
02-02 2246
如果用户通过同一账号在不同浏览器甚至不同ip登录会对账号安全,数据逻辑处理产生巨大隐患,这里介绍几种常见的解决办法: 1.MySql数据库设置登录状态 实现: 在account表中添加字段'isLogin' 登录时,更新为true 退出时,更新为false 当登录时查询该字段,如果为true,就表明该账号登录,阻止这次登录 缺点: 没有设置登录过期时间,账号一直处在登录状态十分不安全 当用户非正常退出,如直接关闭浏览页、设备断电,isLogin无法得到更新,始终处在tru
基于Redis+Token实现登录认证
热门推荐
mameng1988的博客
04-19 1万+
登录认证即分为登录和认证两部分,下面聊下他们的实现逻辑。 1 登录 前端调用后端的登录接口,后端验证用户名和密码等成功后,则做下面两个主要工作: 1 以用户id为key,生成的token为value,缓存到redis中并设置过期时间 2 以生成的token为key,用户信息为value,缓存到redis中并设置过期时间 最后将token及用户信息返回给前端,前端将token放在header中,调用其他接口时都携带者。 如果退出登录,则将上面的两条信息从redis中删除即可 2 认证 前端调用其他接口时,
cookie+redies实现一个用户只能在一处登录,在其他地方登录会被强制下线
weixin_43303530的博客
11-26 1539
该业务的应用范围比较少,主要是对cookie和redis的操作使用 大致思路: 用户第一次登录时,判断cookie是否存在,不存在,有两种情况:第一种:用户尚未登录,对其进行身份验证,验证成功后使用用户名字为cookie的key,如果同一用户再次在此浏览器登录,cookie将会被覆盖,为保证用户在另一浏览器登录而导致cooke不一致的问题,将该cookie的键与值存入到redis(redis内...
如何防止同一账号多次登录
06-10
防止同一账号多次登录可以采用以下几种方式: 1. 使用单点登录(SSO)技术,通过在一台设备登录后,其他设备需要重新输入密码才能登录,从而避免同一账号多次登录。 2. 限制同一账号登录次数,例如在一定时间内同一账号只能登录一次,或者设置最大允许登录设备数量,超过限制则需要重新登录。 3. 在用户登录时记录登录设备信息,例如设备类型、IP地址等,如果发现同一账号在不同设备登录,则提示用户是否是本人登录,或者发送验证邮件/短信等进行身份验证。 4. 对于敏感账号,可以采用多重身份验证方式,例如密码加验证码、指纹识别等。 以上是常用的几种防止同一账号多次登录的方式,可以根据实际情况选择适合的方式进行应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值