BrightLoong's Blog

Java Web之限制用户多处登录

发表于 | 分类于 | 阅读次数

用户登录
  最近在项目中遇到一个需求,要求限制单个用户在多个终端登录(比如用户在A处登录,然后又在B处登录,此时A处就应该被挤下线)。最开始我是想使用spring的security直接通过配置实现,简单又方便。不过很可惜的是,我所做的项目使用的是公司封装的框架,依然在使用sprign2.X。好吧,既然这个方法行不通,那我自己老老实实写代码实现吧,想想网上实现的方法应该很多吧,度娘、谷歌走一波,果断很多,不过过去过来感觉都是同一个。还有就是什么使用application啊,session什么的。最后,我还是自己动手,丰衣足食吧。首先我说一下自己的思路:

用一个全局Map在登录的时候用来保存sessionId,Map的key为登录名,value为sessionID,因为是后来的挤掉前面的,所以不用判断,直接覆盖Map中的值就OK。
实现一个HttpSessionListener,在session销毁(比如session过期)的时候清除Map中对应的值。
实现一个Filter,用于拦截请求,判断改用当前的sessionId是否在Map中,如果不在执行退出操作。

用来保存登入用户SessionID的类

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
public class LoginUserMap {
    
    private static Map<String, String> loginUsers = new ConcurrentHashMap<String, String>();
    
    /**
     * 将用户和sessionId存入map
     * @param key
     * @param value
     */
    public static void setLoginUsers(String loginId, String sessionId) {
        loginUsers.put(loginId, sessionId);
    }
    
    /**
     * 获取loginUsers
     * @return
     */
    public static Map<String, String> getLoginUsers() {
        return loginUsers;
    }
    
    /**
     * 根据sessionId移除map中的值
     * @param sessionId
     */
    public static void removeUser(String sessionId) {
        for (Map.Entry<String, String> entry : loginUsers.entrySet()) {
            if (sessionId.equals(entry.getValue())) {
                loginUsers.remove(entry.getKey());
                break;
            }
        }
    }
    
    /**
     * 判断用户是否在loginusers中
     * @param loginId
     * @param sessionId
     * @return
     */
    public static boolean isInLoginUsers(String loginId, String sessionId) {
        return (loginUsers.containsKey(loginId) && sessionId.equals(loginUsers.get(loginId)));
    }
    
}

在登录方法中保存sessionID

  这里我就不给出具体的实现了,毕竟不同的项目是不同的,我写个大概的步骤,帮助理解:

1
2
3
4
5
6
7
8
9
10
//登录方法所在的地方
public void login(ttpServletRequest request) {
    try {   
            ......//一系列登录的方法
			HttpSession session = request.getSession();
			LoginUserMap.setLoginUsers(username, session.getId());//保存sessionId到map中
		} catch (LoginException ex) {
			throw ex;
		}
}

实现HttpSessionListener

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
public class SessionListener implements HttpSessionListener {
    private Log log = LogFactory.getLog(SessionListener.class);

    /**
     * 创建session时候的动作
     * @param event
     */
    @Override
    public void sessionCreated(HttpSessionEvent event) {

    }

    /**
     * 销毁session时候的动作
     * @param event
     */
    @Override
    public void sessionDestroyed(HttpSessionEvent event) {
        HttpSession session = event.getSession();
        String sessionId = session.getId();
        //移除loginUsers中已经被销毁的session
        LoginUserMap.removeUser(sessionId);
        log.info(sessionId + "被销毁!");
        }
}

xml配置如下:

1
2
3
<listener>
	<listener-class>io.github.brightloong.loginlimite.SessionListener</listener-class>
</listener>

Filter实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
public class LoginLimitFilter implements Filter{
    
    private Log log = LogFactory.getLog(LoginLimitFilter.class);

    /**
     * 销毁时的方法
     */
    @Override
    public void destroy() {
        
    }

    /**
     * 过滤请求
     * @param request
     * @param response
     * @param filterChain
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
          FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest servletRequest = (HttpServletRequest) request;
        HttpServletResponse servletResponse = (HttpServletResponse) response;
        HttpSession session = servletRequest.getSession();
        
        //获取项目路径
        String path = servletRequest.getContextPath();  
        String basePath = servletRequest.getScheme()+"://"+servletRequest.getServerName()+":"+servletRequest.getServerPort()+path;
        
        try {
            //获取用户信息,如果没获取到会抛出错误,我的是这样,代表用户还没有登录
            IUser user = UserUtils.getCurrUserInfo();
            String loginId = user.getLoginId();
            //判断当前用户的sessionId是否在loginUsers中,如果没有执行if后的操作
            if(!LoginUserMap.isInLoginUsers(loginId, session.getId())) {
                //当前用户logout
                logout();//自己的logout方法
               //调到登录页面,并表明退出方式为挤下线
               servletResponse.sendRedirect(basePath + "?logoutway=edge");
            }
        } catch (Exception e) {
            log.debug("获取当前用户信息失败,用户未登陆!", e);
        } finally {
            filterChain.doFilter(request, response);
        }
    }

    /**
     * 初始化方法
     * @param arg0
     * @throws ServletException
     */
    @Override
    public void init(FilterConfig arg0) throws ServletException {
        
    }

}

xml配置如下:

1
2
3
4
5
6
7
8
<filter>
	<filter-name>LoginLimitFilter</filter-name>
	<filter-class>io.github.brightloong.loginlimite.LoginLimitFilter</filter-class>
</filter>
<filter-mapping>
	<filter-name>LoginLimitFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

显示提示信息

  当用户点击的时候就会触发filter去监测,如果监测到已经登录,就会转到登录页面,这个时候要判断是否是被挤下来的,我这使用了layer提示框。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
window.onload = function(){
	if(window.parent != window){
		window.parent.location.href=window.location.href;
	} else {
		if(GetQueryString('logoutway')) {
			//alert('该用户已在其他地方登录,你已下线');
			layer.alert('该账号已在其他地方登录,您已被迫下线,如非本人操作请重新登录并及时修改密码', {
				  skin: 'layui-layer-lan', //样式类名
				  title: '提示'
				  ,closeBtn: 0
				}, function(){
					var url = window.location.href;
					window.location.href = url.substr(0,url.indexOf('?logoutway=edge'));
				});
	  }
	}
}

function GetQueryString(name)
{
     var reg = new RegExp("(^|&)"+ name +"=([^&]*)(&|$)");
     var r = window.location.search.substr(1).match(reg);
     if(r!=null)return  unescape(r[2]); return null;
}

坚持原创技术分享,您的支持将鼓励我继续创作!