怎么防止用户重复登陆?
日期:2014-05-17 浏览次数:20786 次
如何防止用户重复登陆??
用session监听器的话
一般都会存在一个问题:如果用户没有正常退出系统(如直接点浏览器右上角的关闭),那么他接下来继续登陆的时候,因为Session没有过期等问题,会被拒绝继续登陆系统,只能等待Session过期后才能登陆。
我想的实现的功能:
第二次登陆时会把第一次的登陆注销掉,第一次登陆将会类似于MSN弹出:您的帐号已在别处被登陆,您被强迫下线的提示信息。
这要如何实现啊??
哪位高手给个实例
------解决方案--------------------
我见过的一个比较另类的方法你可以参考下,或许会有启示
利用SQLServer的全局临时表防止用户重复登录
百度上面的关键字
------解决方案--------------------
1楼2楼结合一下,使用 HttpSessionListener 在 Session 创建时将用户 ID 写入临时表,销毁时将 ID 从临时表中删除,第二次登录根据临时表查询结果判断是否弹出异地已登录提示,并将第二次尝试异地登录信息写入临时表,第三次登录如果用户的ID和密码经验证正确就删除临时表中记录作正常登录处理。另外临时表的主键可以使用 SessionID。
------解决方案--------------------
问题的关键还是在如何判断用户是否在线!!
用户登录后,将用户的一个online 属性更新为true;并记录其sessionId
第二次登陆时,则更新sessionId
第一个再次访问时,虽然session没有过期,但检测后发现其sessionId 与用户的sessionId 不等,则强制退出。
------解决方案--------------------
因为判断用户是否在线比较困难,所以选择将先前用户踢下线的方案。
我的解决思路是这样的,具体的细节楼主自己思考:
1.servlet初始化时在servletContext里面加一个HashMap,用来保存sessionId和用户名。
2.当用户登陆时首先检查HashMap中是否已经存在这个用户名的sessionId,如果有则销毁此session,并从HashMap中删除相应的信息;如果没有则把sessionId和用户名保存在HashMap中,并给session添加一个flag。
3.用户主动下线时,销毁session,并从HashMap中删除相应的信息。
4.过滤器中对除注册登陆之外的每个请求判断session中是否有flag,如果没有则提示未登陆,返回登陆页面。
如果需要即时性,可以将页面用框架来做,用ajax每隔1秒去检测自己的sessionId是否仍在HashMap中,如果不存在,弹出提示“此帐号在别处登陆,您已被强制下线”。不过这样会增加服务器负担,不推荐。
------解决方案--------------------
后登陆的用户会把先登陆的用户踢下线
具体实现:sessionCheck:
用session监听器的话
一般都会存在一个问题:如果用户没有正常退出系统(如直接点浏览器右上角的关闭),那么他接下来继续登陆的时候,因为Session没有过期等问题,会被拒绝继续登陆系统,只能等待Session过期后才能登陆。
我想的实现的功能:
第二次登陆时会把第一次的登陆注销掉,第一次登陆将会类似于MSN弹出:您的帐号已在别处被登陆,您被强迫下线的提示信息。
这要如何实现啊??
哪位高手给个实例
------解决方案--------------------
我见过的一个比较另类的方法你可以参考下,或许会有启示
利用SQLServer的全局临时表防止用户重复登录
百度上面的关键字
------解决方案--------------------
1楼2楼结合一下,使用 HttpSessionListener 在 Session 创建时将用户 ID 写入临时表,销毁时将 ID 从临时表中删除,第二次登录根据临时表查询结果判断是否弹出异地已登录提示,并将第二次尝试异地登录信息写入临时表,第三次登录如果用户的ID和密码经验证正确就删除临时表中记录作正常登录处理。另外临时表的主键可以使用 SessionID。
------解决方案--------------------
问题的关键还是在如何判断用户是否在线!!
用户登录后,将用户的一个online 属性更新为true;并记录其sessionId
第二次登陆时,则更新sessionId
第一个再次访问时,虽然session没有过期,但检测后发现其sessionId 与用户的sessionId 不等,则强制退出。
------解决方案--------------------
因为判断用户是否在线比较困难,所以选择将先前用户踢下线的方案。
我的解决思路是这样的,具体的细节楼主自己思考:
1.servlet初始化时在servletContext里面加一个HashMap,用来保存sessionId和用户名。
2.当用户登陆时首先检查HashMap中是否已经存在这个用户名的sessionId,如果有则销毁此session,并从HashMap中删除相应的信息;如果没有则把sessionId和用户名保存在HashMap中,并给session添加一个flag。
3.用户主动下线时,销毁session,并从HashMap中删除相应的信息。
4.过滤器中对除注册登陆之外的每个请求判断session中是否有flag,如果没有则提示未登陆,返回登陆页面。
如果需要即时性,可以将页面用框架来做,用ajax每隔1秒去检测自己的sessionId是否仍在HashMap中,如果不存在,弹出提示“此帐号在别处登陆,您已被强制下线”。不过这样会增加服务器负担,不推荐。
------解决方案--------------------
后登陆的用户会把先登陆的用户踢下线
具体实现:sessionCheck:
- Java code
package test;
import javax.servlet.ServletContext;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpSession;
import org.apache.struts.action.ActionMapping;
public class sessionCheck
{
private static sessionCheck sessioncheck;
public sessionCheck(HttpServlet servlet)
{
}
public static sessionCheck getInstance(HttpServlet servlet)
{
if (sessioncheck==null)
{
sessioncheck=new sessionCheck(servlet);
}
return sessioncheck;
}
public void setSession(String userName,HttpServlet servlet,HttpSession session,ActionMapping mapping)
{
final ServletContext sc = servlet.getServletContext();//取得容器,容器中根据用户唯一标识userID存放session
System.out.println(sc);
System.out.println(session);
if (sc.getAttribute(userName) != null)
{
// 第二次登陆后第一次无效
((HttpSession) sc.getAttribute(userName)).invalidate();// 清除第一次登陆的session
System.out.println(session);
}
sc.setAttribute(userName, session);//放入当前最新session
mapping.findForward("sessionDestroy") ;
}
}
------解决方案--------------------
上面各位的想法都有看,
1.cooKie有可能不开的
2.把session放ServletContext会不会导致内存泄露啊,这个待验证
3.客户端一定不能靠ajax搞大量并发服务器承受不了
4.靠javascript监控页面关闭事件是不可靠的,遨游下默认就不好使
同一账号可以登录两次的方案:
我没有这方面需求所以也不太了解常规是如果干的,但是有一点你要清楚,就是msn是c/s程序他的工作方式和http协议是不同的,http是无状态的,客户端必须主动请求服务器才行,也就是说如果B提掉A,系统要提示A的话需要靠异步job不断的请求服务器,这样压力太大了.
下面我想出一个比较可行的方案:
A先上线B后上线,这时系统不要提示A已经被提掉了,而是在A再次访问其他页面的时候(这时候是要走过滤器的),过滤器判断出A已经被T了,这时候在提示A,也就是说让A触发这个被T的消息.
如何知道A已经失效用4楼的方法就可以了.
同一账号不可以登录两次的方案:
老实说我觉得除非客户端ajax并发否则没有太精准的办法.
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
