项目笔记:最近做了个防止用户重复登录的需求:部分站点的用户登录系统后,如果没有退出,将不允许再次登录。
项目简介:spring security ,redis(分布式) 。项目实现的很多底层的jar包,最要命的是重新封装了session ,session是redis来封装的
这个需求当时在接的时候没有考虑全面,盲目的接手,
1 这个功能看似简单但是有个致命的问题,即浏览器关闭时,session不能失效。
如果想完美监听关闭浏览器,则需要维护在线的用户,或者前端加响应(有些浏览器并不支持),
这些有很多的不确定,项目成本成倍增加。
2这是个分布式系统,用户随机访问系统,所以最终还是要redis 做用户的session缓存才行。而redis session又跟spring security 结合,
3,spring security(用于用户认证,登录,登出操作) 是个被封装的jar来被引用的 如果这个包,风险加大。
以上问题都是在接手需求时未能考虑到的。
方案1,
1、对需求做改动(需要对产品做工作,即用户登录以后,如果再次登录将踢掉之前登录的用户。这样就不用考虑-关闭浏览器session不能失效问题)
技术:用session监听把用户id,和session存到session map中 维护session map,网上都有例子。
方案2
2、(不是我实现的555555)换种思路,因为用户登录的时候jredis 会把用户session 信息保存(这是项目之前实现的:把session保存到redis缓存中) 那我们就在用户登录的时候,异步验证
用户是否已登录,首先判断用户第一次登录时肯定是没有存sesssionId的, 如果没存的话jedisClient.set(SSO_LOGIN+u.getUsername(), PortalSiteHolder.get().getId(),
session.getId(), 5*60*60, TimeUnit.SECONDS);再次登录时判断:
JedisClient jedisClient = (JedisClient)InstanceFactory.getInstance(AbsRedisClient.class);
Long siteId = PortalSiteHolder.get().getId();
if(jedisClient.exists(SSO_LOGIN+userName, siteId)){
String sessionId = (String)jedisClient.get(SSO_LOGIN+userName, siteId);
System.out.println("sessionId="+sessionId);
if(sessionId==null){
jedisClient.del(SSO_LOGIN+userName, siteId);
return true;
}else{
if(jedisClient.exists("jsession", "HYS_JSESSIONID_"+sessionId)||jedisClient.exists("REDIS","SESSION:"+sessionId)){
System.out.println("session exists"+sessionId);
return false;
}else{
System.out.println("session not exists");
jedisClient.del(SSO_LOGIN+userName, siteId);
}
}
}
return true;
总结:防止用户重复登录这个功能其实不难实现,无非是两种做法,一种是用户登录后,再次登录提示用户已登录。第二种就是把老用户踢掉,把用户的session信息存到
sessionmap或者redis ,然后判断这个值是否存在。重要的是思路!思路!