java web 用户单点登录的方案的基本实现

2024-09-02 11:32

本文主要是介绍java web 用户单点登录的方案的基本实现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

     首先,考虑不能重复登录的问题。在项目中,我使用session来存储用户的信息,用户登录时,创建一个session,将用户名,用户逻辑Id,登录时间等属性存放到该session中。考虑使用Application来实现禁止重复登录。定义一个Map<Long,String>类型的变量loginUserMap。其每条记录存储登录用户的逻辑Id和对应session的sessionId。这样,每次用户登录的时候遍历loginUserMap,如果没有对应的userlogicId或sessionId则允许登录,否则提示已在别处登录。

[java]  view plain copy
  1. // 判断是否重复登录  
  2. isloginexists = false;  
  3. ifsessioninvalidate = false;  
  4. loginUserMap = (Map<Long, String>) acx.getApplication().get(WebConstant.LOGIN_USER_MAP);  
  5. if (loginUserMap == null) {  
  6.     loginUserMap = new HashMap<Long, String>();  
  7. }  
  8. HttpServletRequest request = ServletActionContext.getRequest();  
  9. String sessionId = request.getSession(false).getId();  
  10. System.out.println("sessionId" + sessionId);  
  11. for (Long userlogicId2 : loginUserMap.keySet()) {  
  12.     if (!userlogicId2.equals(userlogicId) && !loginUserMap.containsValue(sessionId)) { // 不同浏览器不允许相同用户重复登录  
  13.         continue;  
  14.     }  
  15.       
  16.     if(userlogicId2.equals(userlogicId)&&!loginUserMap.containsValue(sessionId)){  
  17.         setIfsessioninvalidate(true);  
  18.     }  
  19.     isloginexists = true;  
  20.     break;  
  21. }  
  22. if (isloginexists) {  
  23.     setTip("loginexists");  
  24.     if(ifsessioninvalidate==true){  
  25.         request.getSession(false).invalidate();  
  26. }  
  27.   
  28. else {  
  29.   
  30.     loginUserMap.put(userlogicId, sessionId);  
  31.     acx.getApplication().put(WebConstant.LOGIN_USER_MAP,loginUserMap);  
  32.     acx.getSession().put(WebConstant.USER_ID, getUsername());  
  33.     acx.getSession().put(WebConstant.USER_LOGICID,userManageService.findbyUsername(getUsername()).getLogicId());  
  34.     acx.getSession().put(WebConstant.LOGIN_TIME, new Date());  
  35.        }  


在用户退出的操作中,将loginUserMap中对应的用户logicId和sessionId清除,同时清除session中的用户信息。

[java]  view plain copy
  1.   Map<Long, String> loginUserMap = (Map<Long, String>)acx.getApplication().get(WebConstant.LOGIN_USER_MAP);  
  2.   String username=userManageService.findByLogicId(userlogicId).getUserName();  
  3.   if(loginUserMap.containsKey(userlogicId)){  
  4.    loginUserMap.remove(userlogicId);      
  5.   }  
  6.   session.getServletContext().setAttribute("loginUserMap", loginUserMap);  
  7.     
  8.   Long id=(Long) session.getAttribute(WebConstant.USER_LOGICID);  
  9.   if(id!=null)  
  10. this.userManageService.userLogout(id);  
  11.     
  12.   session.removeAttribute(WebConstant.USER_ID);  
  13.   session.removeAttribute(WebConstant.USER_LOGICID);  
  14.   session.removeAttribute(WebConstant.LOGIN_TIME);  
  15.   
  16.   //使Session失效  
  17.   session.invalidate();  
  18.   
  19.   response.setHeader("Cache-Control","no-cache");  
  20.   response.setHeader("Cache-Control","no-store");  
  21.   response.setDateHeader("Expires"0);  
  22.     
    在session失效的监听器处理中,也做相同的操作,保证登录session超时时从loginUserMap中删除该用户,以保证后继账号能够正常登录。
   
[java]  view plain copy
  1. public class SessionListener implements HttpSessionListener{  
  2.        
  3.     @Override  
  4.     public void sessionCreated(HttpSessionEvent event) {  
  5.            
  6.     }  
  7.   
  8.       
  9.     @Override  
  10.     public void sessionDestroyed(HttpSessionEvent event) {  
  11.         //监听session的失效和销毁  
  12.         HttpSession session=event.getSession();  
  13.         ServletContext application=session.getServletContext();  
  14.       
  15.         try{  
  16.              String username=(String) session.getAttribute(WebConstant.USER_ID);  
  17.              Long userlogicId=(Long)session.getAttribute(WebConstant.USER_LOGICID);  
  18.              Map<Long, String> loginUserMap = (Map<Long, String>)application.getAttribute(WebConstant.LOGIN_USER_MAP);   
  19.              if(loginUserMap.containsKey(userlogicId))  
  20.                  loginUserMap.remove(userlogicId);  
  21.              application.setAttribute(WebConstant.LOGIN_USER_MAP, loginUserMap);  
  22.               System.out.println("session:"+session.getId()+"已失效");  
  23.          }  
  24.          catch(Exception e){  
  25.                 System.out.println(e.getMessage());  
  26.          }  
  27.     }  
  28.   
  29.   
  30. }  

     到这里,基本能做到限制用户的重复登录了,但是靠这些异常情况依然无法处理,如用户使用过程中关闭浏览器,再次登录时,由于信息记录在服务器端的application中且未按照正常安全退出流程执行,则执行登录操作会提示"已在别处登录"。要解决这个问题,如下:

二、

1.在mainframe页面绑定jQuery的beforeunload事件,在关闭浏览器时执行退出程序

[javascript]  view plain copy
  1. $(function() {  
  2.         console.log("daemon");  
  3.         $(window).bind('beforeunload'function() {  
  4.             //关闭浏览器则执行退出程序  
  5.             $.ajax({  
  6.                 url : "logout.action",  
  7.                 type : "post",  
  8.                 success : function() {  
  9.                     messagebox.alert("退出","您已成功登出!");  
  10.                 }  
  11.             });  
  12.         });  
  13.     });  

这种做法确实能实现关闭浏览器实现用户退出的功能,不过通过查阅jquery手册,发现beforeunload事件监听的不仅仅是浏览器的关闭,同时,页面的刷新操作以及页面的重定向均可导致此事件的发生,显然这些操作我们并不希望执行退出操作,我做了一些尝试,在页面中判断beforeunload监听的是哪一种操作,以达到只监听浏览器关闭的事件,不过经过多次尝试,发现各个浏览器的兼容性差异太大,只得作罢。

   2.设置"心跳信号"。也就是在页面中设置一个隐藏的iframe,定时地发送请求到服务器(如每隔10s),如果一定时间内服务器没有响应(如30s),则判定用户已退出,执行登出程序。这种做法能有效监听各种异常事件,并在短时间内做出相应的处理。但是由于页面会一直不停的发送请求到服务器,如果用户量变大的时候,则服务器的压力也随之增大,这时候这种方法则不是一个比较好的解决方案。

    3.由于上述两种方案均有着较大的缺陷,想到第三种方法。这种方法和第一种方法从大体思路上是类似的,即用beforeunload事件监听,但是判断是哪种操作放在服务器端。考虑到beforeunload事件监听的是离开页面的事件,关闭页面或浏览器操作为直接离开,而重定向和刷新是由离开当前页面和重新加载页面两步组成,于是我们可以考虑用session的getLastAccessedTime()方法来加以区分,getLastAccessedTime()能获取session的最后访问时间,对于关闭浏览器操作,一旦监听到执行logout 程序则最后访问事件就是关闭浏览器时的时间,而刷新和重定向操作的最后访问时间为重新加载当前页面的时间,这样便可以加以区分这两种操作。

   Code:

[java]  view plain copy
  1. <pre name="code" class="java">public String logOut()  throws Exception  
  2. {  
  3.     HttpSession session = request.getSession(true);  
  4.     ActionContext acx=ActionContext.getContext();  
  5.     try{  
  6.         long lastAccessedTime1=session.getLastAccessedTime();   //离开当前页面的时间  
  7.         Thread.sleep(2000);  
  8.         long lastAccessedTime2=session.getLastAccessedTime();   //重新加载当前页面的时间(刷新和重定向)  
  9.         System.out.println(lastAccessedTime1);  
  10.         System.out.println(lastAccessedTime2);  
  11.         if(lastAccessedTime1!=lastAccessedTime2)  
  12.             return NONE;  
  13.     }catch(IllegalStateException e){  
  14.         return NONE;  
  15.     }  
  16.    
  17.    
  18.     //把loginUserMap中保存的键值对清除  
  19.    try{  
  20.        Map<String, String> loginUserMap = (Map<String, String>)acx.getApplication().get(WebConstant.LOGIN_USER_MAP);  
  21.        String username=(String)session.getAttribute(WebConstant.USER_ID);  
  22.    
  23.        if(loginUserMap.containsKey(username)){  
  24.            loginUserMap.remove(username);                            
  25.        }  
  26.        session.getServletContext().setAttribute("loginUserMap", loginUserMap);  
  27.    
  28.        //处理用户退出  
  29.        Long id=(Long) session.getAttribute(WebConstant.USER_LOGICID);  
  30.        if(id!=null)  
  31.         this.userManageService.userLogout(id);  
  32.    
  33.     session.removeAttribute(WebConstant.USER_ID);  
  34.     session.removeAttribute(WebConstant.USER_LOGICID);  
  35.     session.removeAttribute(WebConstant.LOGIN_TIME);  
  36.     // 使Session失效  
  37.      session.invalidate();  
  38.     //缓存设置  
  39.     response.setHeader("Cache-Control","no-cache");  
  40.     response.setHeader("Cache-Control","no-store");  
  41.     response.setDateHeader("Expires"0);  
  42.    
  43.    }catch(NullPointerException e){  
  44.    
  45.    }  
  46.    return NONE;  
  47. }  


 

 而对于浏览器崩溃,断网等异常情况,只能通过session失效时的监听器进行处理 。这里监听器的作用在于当session超时的时候,删除loginUserMap中的用户信息,这样当达到session失效的时间以后同时清除已登录的用户的信息。

Code:

[java]  view plain copy
  1. public class SessionListener implements HttpSessionListener{  
  2.    
  3.     @Override  
  4.     public void sessionCreated(HttpSessionEvent event) {  
  5.    
  6.     }  
  7.    
  8.    
  9.     @Override  
  10.     public void sessionDestroyed(HttpSessionEvent event) {  
  11.         //监听session的失效和销毁  
  12.         HttpSession session=event.getSession();  
  13.          ServletContext application=session.getServletContext();  
  14.          try{  
  15.              String username=(String) session.getAttribute(WebConstant.USER_ID);  
  16.              Map<String, String> loginUserMap = (Map<String, String>)application.getAttribute(WebConstant.LOGIN_USER_MAP);  
  17.              if(loginUserMap.containsKey(username))  
  18.                  loginUserMap.remove(username);  
  19.              application.setAttribute(WebConstant.LOGIN_USER_MAP, loginUserMap);  
  20.          }  
  21.          catch(Exception e){  
  22.                 System.out.println(e.getMessage());  
  23.          }  
  24.     }  
  25.    
  26. }  

这篇关于java web 用户单点登录的方案的基本实现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1129827

相关文章

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

Security OAuth2 单点登录流程

单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一注销(single sign-off)就是指

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

无人叉车3d激光slam多房间建图定位异常处理方案-墙体画线地图切分方案

墙体画线地图切分方案 针对问题:墙体两侧特征混淆误匹配,导致建图和定位偏差,表现为过门跳变、外月台走歪等 ·解决思路:预期的根治方案IGICP需要较长时间完成上线,先使用切分地图的工程化方案,即墙体两侧切分为不同地图,在某一侧只使用该侧地图进行定位 方案思路 切分原理:切分地图基于关键帧位置,而非点云。 理论基础:光照是直线的,一帧点云必定只能照射到墙的一侧,无法同时照到两侧实践考虑:关

Java进阶13讲__第12讲_1/2

多线程、线程池 1.  线程概念 1.1  什么是线程 1.2  线程的好处 2.   创建线程的三种方式 注意事项 2.1  继承Thread类 2.1.1 认识  2.1.2  编码实现  package cn.hdc.oop10.Thread;import org.slf4j.Logger;import org.slf4j.LoggerFactory