Web项目防止同一账号在不同session下重复登录

最新推荐文章于 2024-06-21 13:37:38 发布
最新推荐文章于 2024-06-21 13:37:38 发布
阅读量5.2k 收藏 20
点赞数 5
分类专栏: Web开发 文章标签: 重复登录 session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyh930929/article/details/82979182
版权
一、session简介
浏览器在请求服务器时,服务器都会创建一个session,session负责浏览器与服务器之间的会话。session的存在是为了维护浏览器和服务器之间交互时保留一些交互数据,例如用户行为或者用户信息等。每个会话都有自己的唯一标识,叫做sessionId。这个流程如下:
  1. 浏览器请求服务器。
  2. 服务器检查浏览器是否携带sessionId,如果未携带sessionId或者携带一个不存在的sessionId,服务器生成一个session,并将sessionId返回给浏览器。
  3. 浏览器将sessionId存放在cookie中。
  4. 浏览器接下来访问该服务器时,就会带着sessionId去访问服务器,服务器都会找到处理该会话的session对象。直到session过期或者session被销毁。

session有自己的过期时间(这个时间是服务气端设置的),如果浏览器长时间未访问服务器,session会自动中断。(session的存在是因为Http协议是一种无状态协议,每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录)。

二、用户身份验证
几乎每一个网站针对不同身份的用户会有不同的呈现,例如:游客、登录用户、管理员。这种情况就需要我们在基于session的基础上再实现一套用户身份的认证。这种身份认证通常是网站在需要用户信息认证时,用户输入用账号,密码来实现的。
三、不同session下登录同一账号
用在用不同浏览器访问同一个网站时,登录同一个用户账号,这种情况下就会出现“不同session下重复登录账号”。在现实中的业务中,很多时候,我们是不允许用户在多处登录同一账号的。

处理这个需求的思路:

  1. 每当服务器端生成一个新的session时,将sessionId和session对象分别作为key和value存储起来(可用一个全局的map,也可以用redis存储)。
  2. 用户登录账号时,检查服务器端的全部session,检查是否有该用户标识的session,如果有,就将之前的session关闭。
  3. 关闭之前的session后,用户的账号信息(或者能区分用户身份的唯一标识)以参数的形式放在当前的session中。方便下次登录检测。

具体实现
实现一个session管理类。

import javax.servlet.http.HttpSession;
import java.util.HashMap;
import java.util.Map;
import java.util.Set;

public class MySessionContext {

    private static MySessionContext instance;
    private HashMap<String,HttpSession> sessionMap;

	//创建存储session的map集合
    private MySessionContext() {
        sessionMap = new HashMap<String,HttpSession>();
    }

	//获取处理session的实例
    public static MySessionContext getInstance() {
        if (instance == null) {
            instance = new MySessionContext();
        }
        return instance;
    }

	//添加一个session到map
    public synchronized void addSession(HttpSession session) {
        if (session != null) {
            sessionMap.put(session.getId(), session);
        }
    }

	//删除一个session到map
    public synchronized void delSession(HttpSession session) {
        if (session != null) {
            sessionMap.remove(session.getId());
        }
    }

	//根据sessionId获取一个session对象
    public synchronized HttpSession getSession(String sessionID) {
        if (sessionID == null) {
            return null;
        }
        return sessionMap.get(sessionID);
    }

    //检查是否有存在该用户名的session
    public HttpSession checkExist(String username){

        Set<Map.Entry<String,HttpSession>> entrySet = sessionMap.entrySet();

        for(Map.Entry<String,HttpSession> entry : entrySet){
            HttpSession session = entry.getValue();

            Object usernameValue = session.getAttribute("usernameKey");

            if(usernameValue != null && usernameValue.toString().equals(username)){
                return entry.getValue();
            }
        }

        return null;
    }

}

实现一个session监听类:


import javax.servlet.http.HttpSession;
import javax.servlet.http.HttpSessionEvent;
import javax.servlet.http.HttpSessionListener;

public class SessionListener implements HttpSessionListener {


    private MySessionContext myc = MySessionContext.getInstance();

	//当浏览器与服务器之间的session被创建时,存储该session。
    @Override
    public void sessionCreated(HttpSessionEvent httpSessionEvent) {
        HttpSession session = httpSessionEvent.getSession();
        myc.addSession(session);
    }

	//当session被销毁时,删除该session。
    @Override
    public void sessionDestroyed(HttpSessionEvent httpSessionEvent) {
        HttpSession session = httpSessionEvent.getSession();
        myc.delSession(session);
    }
}

将该session监听类注册到web.xml的监听器列表:

<listener>
        <listener-class>com.msmk.cloud.listener.SessionListener</listener-class>
</listener>

在用户登录验证通过后调用下面这个方法处理session:


  /**
     * 专门用于处理单点登录的方法,如果用户用同一个账号登录过了,将之前的session销毁。
     * @param request
     */
    public void handleSession(HttpServletRequest request){

        User user = userService.getCurrent();

        if(user == null){
            return;
        }

		//作为区分用户的唯一标识。
        String usernameKey = "";

        //如果用户名不为空
        if(!StringUtils.isEmpty(user.getUsername())){
            usernameKey = user.getUsername();
        }

        //如果用户民为null,那就是第三方登录,使用otherId
        if(StringUtils.isEmpty(user.getUsername()) && (!StringUtils.isEmpty(user.getOtherUid()))){
            usernameKey = user.getOtherUid();
        }else{
            if(!StringUtils.isEmpty(user.getOpenid())){
                usernameKey = user.getOtherUid();
            }
        }

        //获取session管理实例。
        MySessionContext myc= MySessionContext.getInstance();
        HttpSession httpSession = myc.checkExist(usernameKey);

        //如果sessionMap中存在该用户标识的session,将前一个session关闭。
        if(httpSession != null){
            httpSession.invalidate();
        }

        //将代表用户的唯一标识,大部分是username,由于第三方登录,有时也是otherId,或者openId
        HttpSession sessionCurrent = request.getSession();
        sessionCurrent.setAttribute("usernameKey",usernameKey);
    }
-yanhui-
关注
专栏目录
防止用户重复登陆系统
lengyubing_1983的专栏
05-23 1500
很多系统要求防止用户重复登陆,我们通常思维是当有用户重复登陆时要禁止他再登陆进去,提示他该账号已经有人在使用中.然而这样有个问题很难解决,就是系统很难实时捕捉到该账号是否还在使用中,如当用户非正常退出或者遇到停电等,系统只好等到Session超时后才能知道该账号已经下线.在Session超时之前这段时间之内没有人使用账号但也没人再能登陆上去,只能干等着了.我的解决方法是模仿QQ的被迫下线的功
java 同一浏览器_java web实现同一账号不同浏览器不能同时登录
weixin_33902011的博客
02-13 782
网上看了很多方法,个人也看了,自己也总结了几个比较常用的:前提都是用session监听器,对session的创建与销毁进行监听一、在用户登录时保存该用户的状态有这几种保存方式:1、保存到内存中(application,servletcontext ,个人也是推荐这种方式)2、保存状态到数据库,至于具体的怎么保存你可以随意返回,如:0,1两种状态3、保存到文件中,对文件的读写以上是登录用户的状态,...
Java Web开发防止用户重复登录的完美解决方案
09-01
web项目开发中,很多情况下都可以让同一账号信息在不同登录入口登录很多次,这样子做的不是很完善。一般解决这种情况有两种解决方案,小编呢主要以第二种方式给大家介绍具体的实现方法,对java web 防止用户重复登录的解决方案感兴趣的朋友一起看看吧
防止用户重复登录
06-03
防止用户重复登录,同ID只可登录一个
Session: 防止用户多次登陆
weixin_34292959的博客
11-22 341
在web开发时,有的系统要求同一用户同一时间只能登录一次,也就是如果一个用户已经登录了,在退出之前如果再次登录的话需要报错。   常见的处理方法是,在用户登录时,判断此用户是否已经在Application中存在,如果存在就报错,不存在的话就加到Application中(Application是所有session共有的,整个web应用程序唯一的一个对象): 以下是引用片段:  stri...
session监听防止用户登录重复
毅个混蛋的专栏
11-02 9962
思路,主要是实现一些session监听器的接口,在session中set属性时,判断是不是user对象,然后缓存下来,userName为key,session对象为value, 然后,每次登录的时候去这个缓存中查找是否有这个用户,取出来的session为空则没有,取出来有值,则改用户登录过了, 后面就是自己的逻辑了。 有2种 -------------------------------
使用session实现防止重复登录
weixin_33895604的博客
10-27 984
2019独角兽企业重金招聘Python工程师标准>>> ...
PHP session 防止重复登录
瞎捣鼓
07-09 3592
zhclass.php<?php// 选则表单 class zhClass { public $zh; // 账号 public $mm; // 密码 public $con; // 数据库句柄 public function checkZh() // 检测账号是否存在 { $result = mysql_query("S
防止重复登录
01-29
它主要目的是阻止同一用户不同设备或浏览器上同时保持活跃的登录状态,避免账户被恶意利用或者因为用户忘记退出而导致信息泄露。下面我们将深入探讨防止重复登录的相关知识点。 1. **登录原理**:在标准的Web登录...
php有效防止同一用户多次登录
10-23
在Web开发中,确保用户账号同一时间只能被一个人使用是非常重要的,这有助于避免用户隐私泄露和账户被恶意控制等问题。PHP作为一门广泛应用于Web开发的编程语言,提供了一系列机制来防止同一用户账号的多次登录。 ...
C#有效防止同一账号多次登录(附三种方法)
09-03
主要介绍了C#有效防止同一账号多次登录的方法,有效防止同一账号多次登录的方法很多,比如用数据库来记录用户登录情况、用Application来保存用户登录信息、用Cache来保存信息等,感兴趣的小伙伴们可以参考一下
C#防用户重复登录的方法.NET
02-24
C#防用户重复登录的方法.NET;解决用户同一台电脑重复登录问题
.net C# 通过session控制重复登录及在线用户统计
11-14
该例程利用session全面解决了用户在线数量统计及控制用户重复登录
JavaWeb实现同一帐号同一时间只能一个地点登陆(类似QQ登录的功能)
09-01
在JavaWeb开发中,实现同一账号同一时间只能在一个地点登录的功能,主要目的是为了增强系统的安全性,防止用户账户被他人恶意登录或同时在多个设备上使用,例如在在线考试系统、即时通讯应用等场景中尤为关键。...
Session实现防止表单重复登录的功能
weixin_43975825的博客
02-19 229
重复提交的情况: 1.在表单提交到一个servlet,而servlet又通过请求转发的方式响应了一个jsp,此时地址栏还保留着servlet的那个路径,在响应页面点击“刷新”(网络延迟) 2.在响应页面没有到达时,重复点击提交按钮。 3.在目标页面点击返回,再点击提交 如何避免表单重复提交 在表单中做一个标记,提交到servlet时,检查标记是否存在且和预定义的标记是否一致,若一致,则受理请求,并...
java(16)--利用session防止重复登录操作
上善若水,厚德载物
02-21 1415
html登录页面 可以采用javascript进行防止重复操作,但是如果用户浏览器禁止js使用,就必须想办法从后台进行防止操作<!DOCTYPE html> <html> <head> <title>form.html</title> <meta http-equiv="keywords" content="keyword1,keyword2,keyword3"> <me
如何判断系统中登录用户
追寻---专栏
09-18 3587
在网上找了下,大概有两种解决方案: 1、通过数据库状态位判断该用户是否已经登录。 2、利用session监听器监听每一个登录用户登录情况。 个人想了下,第一种解决方案很简单,但需要考虑用户非正常退出的情况,如直接关闭浏览器等等,可用性较低。 接下来,主要介绍第二种方案的具体实现: A.用户登录后,先去数据库查询该登录名是否存在、是否锁定,在登录名存在且非锁定的情况下,从applicat
Session防止重复登录
Destiny的博客
06-28 3097
网上有很多关于重复登录的文章,我总结了一下,然后根据自己的业务做了一个:但是我觉得应该还有更好的解决办法如果有同志有其他的办法的话欢迎留言哦!原理也很简单:首先需要实现一个Session监听类SessionListener 使用HttpSessionListener接口实现 sessionCreated 和 sessionDestroyed方法:记得需要写上@WebListener注解@WebLi...
Java Web防止同一用户同时登录实现方式
最新发布
m0_72642319的博客
06-21 1676
在Java Web应用中防止用户重复登录,主要是通过维护用户的会话状态来实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值