如何限制同一客戶端登入的使用者數量以及禁止同一使用者同時在不同客戶端登入?
在web應用系統中,出於安全性考慮,經常需要對同一客戶端登入的使用者數量和一個客戶同時在多個客戶端登陸進行限制。具體一點就是:
1、在同一臺電腦上一次只允許有一個使用者登入系統,2、一個使用者在同一時間只允許在一個客戶端登入。
我最近做的一個系統就遇到了這樣的問題,本來系統已經開發完成了,但是安全測評沒有通過,就是因為沒有做這兩個限制。怎麼來做這樣的限制呢?我在網上找了很久,發現問這個問題的人很多,但是沒有找到特別清楚的答案。後來自己摸索著,看了一些書,終於找到解決辦法了。
要解決這個問題實際上不難,對於高手來說可能都懶得去說了,但是對於不熟悉web程式設計的人來說可能會困擾很久。下面我把我的解決辦法說出來,供大家參考!
先介紹一下我那個系統的背景:j2ee,tomcat,沒有用cookie。
首先確定解決這兩個問題的基本思路:
1、要解決同一臺電腦上只允許有一個使用者登入系統,只有一個辦法。監視每一個連線的來源,如果發現有一個新的連線與某個已經存在的連線來自同一臺電腦,則終止其中的一個(當然,也可以提醒使用者,讓他自己決定終止哪一個)。
2、要禁止一個使用者賬號同時在不同的客戶端登入,只有監視每一個連線的使用者賬號,如果發現一個新連線的使用者賬號跟某個已經存在的連線的使用者賬號相同,則自動將前一個終止(同樣,也可以讓使用者自己決定終止哪一個)。
確定了基本思路以後,就要找具體辦法了。我最初的想法是在資料庫建立一張表,存放已登入使用者的使用者名稱、實體地址、Session id
相信很多一開始遇到這個問題的人都會考慮這種解決辦法。但是這種辦法有很多問題,最主要的問題有兩個:第一是效率,每一次都要從資料庫裡面取資料進行匹配。第二是使用者退出時需要刪除表中的記錄,而當用戶非正常退出時,很難及時監測(後來發現其實有辦法監測)。
後來在網上的某個帖子裡面看到一位大俠提到用監聽器,只是那位大俠說的太含糊,照他說的辦法根本無法解決。雖然無法解決,但是提供了一個思路。於是我找了一本書,仔細看了其中關於監聽器的部分。解決辦法就在其中了!!!
監聽器的詳細介紹見我的下一篇博文,這裡先把解決辦法告訴大家:
監聽器可以監聽Session及其所包含的屬性,即Attribute。
所以我們要做的就是:
1、建立一個監聽器,實現HttpSessionAttributeListener介面,監聽每一個Attribute的增加、編輯、刪除事件。監聽器中還要建立一個map,將所有的session放入這個map中。
2、在使用者登入時將使用者名稱、實體地址、Session id存到Session中去(可以建立一個使用者登入地址資料傳輸物件,我建立了一個UserSessionAdd類,裡面包含username,macAdd,sessionId三個屬性,使用者登入時將這個資料物件初始化,並存入到session中)。
3、每個新會話開啟時,在監聽器中對Session包含的屬性進行判斷,如果新增的屬性與map中已有session的使用者登入地址資料相同,則表示新會話與我們要做的兩個限制相沖突。將與之衝突的會話提取出來,銷燬掉!
這麼說,還是不夠清楚,下面看程式碼:
Web.xml檔案:
<listener>
<listener-class>監聽器類的路徑,如:com.web.MyListener</ listener-class >
</listener>
使用者登入地址資料傳輸物件:
publicclass UserSessionAdd {
private String add;
private String sessid;
private String username
public String getUsername(){
return username
}
Public void setUsername(String username){
this.username=username;
}
public String getIp() {
returnadd;
}
publicvoid setAdd(String add) {
this.add = add;
}
public String getSessid() {
returnsessid;
}
publicvoid setSessid(String sessid) {
this.sessid = sessid;
}
}
使用者登入的程式碼:
···
String userHost = request.getRemoteHost();
String sessionId = request.getSession().getId();
UserSessionAdd usa = new UserSessionAdd();
usa.setUsername(username);
usa.setSessid(sessionId);
usa.setAdd(userHost);
request.getSession().setAttribute(“usa”,usa);
監聽器程式碼:
publicclass MyListener implements HttpSessionAttributeListener{
Map<String, HttpSession> map = new HashMap<String, HttpSession>();
publicvoid attributeAdded(HttpSessionBindingEvent event) {
String name = event.getName();
if(name.equals("usa")){
UserSessionAdd usa = (UserSessionAdd)event.getValue();
if(map.get(usa.getAdd())!=null){
HttpSession sess = map.get(usa.getAdd());
UserSessionAdd usa1 = (UserSessionAdd)sess.getAttribute("usa");
sess.removeAttribute("usa");
sess.invalidate();
}
map.put(usa.getAdd(), event.getSession());
}
}
publicvoid attributeRemoved(HttpSessionBindingEvent event) {
String name = event.getName();
if(name.equals("usa")){
UserSessionAdd usa = (UserSessionAdd)event.getValue();
map.remove(usa.getAdd());
}
}
publicvoid attributeReplaced(HttpSessionBindingEvent event) {
// TODO Auto-generated method stub
````
}
}