通常系统都会限制同一个账号的登录人数,多人登录要么限制后者登录,要么踢出前者,Spring Security 提供了这样的功能,本文讲解一下在没有使用Security的时候如何手动实现这个功能

demo 技术选型

  • SpringBoot
  • JWT
  • Filter
  • Redis + Redisson

JWT(token)存储在Redis中,类似 JSessionId-Session的关系,用户登录后每次请求在Header中携带jwt

如果你是使用session的话,也完全可以借鉴本文的思路,只是代码上需要加些改动

两种实现思路

比较时间戳

维护一个 username: jwtToken 这样的一个 key-value 在Reids中, Filter逻辑如下

public class CompareKickOutFilter extends KickOutFilter {

    @Autowired

    private UserService userService;

    @Override

    public boolean isAccessAllowed(HttpServletRequest request, HttpServletResponse response) {

        String token = request.getHeader("Authorization");

        String username = JWTUtil.getUsername(token);

        String userKey = PREFIX + username;

        RBucket<String> bucket = redissonClient.getBucket(userKey);

        String redisToken = bucket.get();

        if (token.equals(redisToken)) {

            return true;

        } else if (StringUtils.isBlank(redisToken)) {

            bucket.set(token);

        } else {

            Long redisTokenUnixTime = JWTUtil.getClaim(redisToken, "createTime").asLong();

            Long tokenUnixTime = JWTUtil.getClaim(token, "createTime").asLong();

            // token > redisToken 则覆盖

            if (tokenUnixTime.compareTo(redisTokenUnixTime) > 0) {

                bucket.set(token);

            } else {

                // 注销当前token

                userService.logout(token);

                sendJsonResponse(response, 4001, "您的账号已在其他设备登录");

                return false;

            }

        }

        return true;

    }

}

队列踢出

public class QueueKickOutFilter extends KickOutFilter {

    /**

     * 踢出之前登录的/之后登录的用户 默认踢出之前登录的用户

     */

    private boolean kickoutAfter = false;

    /**

     * 同一个帐号最大会话数 默认1

     */

    private int maxSession = 1;

    public void setKickoutAfter(boolean kickoutAfter) {

        this.kickoutAfter = kickoutAfter;

    }

    public void setMaxSession(int maxSession) {

        this.maxSession = maxSession;

    }

    @Override

    public boolean isAccessAllowed(HttpServletRequest request, HttpServletResponse response) throws Exception {

        String token = request.getHeader("Authorization");

        UserBO currentSession = CurrentUser.get();

        Assert.notNull(currentSession, "currentSession cannot null");

        String username = currentSession.getUsername();

        String userKey = PREFIX + "deque_" + username;

        String lockKey = PREFIX_LOCK + username;

        RLock lock = redissonClient.getLock(lockKey);

        lock.lock(2, TimeUnit.SECONDS);

        try {

            RDeque<String> deque = redissonClient.getDeque(userKey);

            // 如果队列里没有此token,且用户没有被踢出;放入队列

            if (!deque.contains(token) && currentSession.isKickout() == false) {

                deque.push(token);

            }

            // 如果队列里的sessionId数超出最大会话数,开始踢人

            while (deque.size() > maxSession) {

                String kickoutSessionId;

                if (kickoutAfter) { // 如果踢出后者

                    kickoutSessionId = deque.removeFirst();

                } else { // 否则踢出前者

                    kickoutSessionId = deque.removeLast();

                }

                try {

                    RBucket<UserBO> bucket = redissonClient.getBucket(kickoutSessionId);

                    UserBO kickoutSession = bucket.get();

                    if (kickoutSession != null) {

                        // 设置会话的kickout属性表示踢出了

                        kickoutSession.setKickout(true);

                        bucket.set(kickoutSession);

                    }

                } catch (Exception e) {

                }

            }

            // 如果被踢出了,直接退出,重定向到踢出后的地址

            if (currentSession.isKickout()) {

                // 会话被踢出了

                try {

                    // 注销

                    userService.logout(token);

                    sendJsonResponse(response, 4001, "您的账号已在其他设备登录");

                } catch (Exception e) {

                }

                return false;

            }

        } finally {

            if (lock.isHeldByCurrentThread()) {

                lock.unlock();

                LOGGER.info(Thread.currentThread().getName() + " unlock");

            } else {

                LOGGER.info(Thread.currentThread().getName() + " already automatically release lock");

            }

        }

        return true;

    }

}

比较两种方法

  1. 第一种方法逻辑简单粗暴, 只维护一个key-value 不需要使用锁,非要说缺点的话没有第二种方法灵活。
  2. 第二种方法我很喜欢,代码很优雅灵活,但是逻辑相对麻烦一些,而且为了保证线程安全地操作队列,要使用分布式锁。目前我们项目中使用的是第一种方法

本人免费整理了Java高级资料,涵盖了Java、Redis、MongoDB、MySQL、Zookeeper、Spring Cloud、Dubbo高并发分布式等教程,一共30G,需要自己领取。
传送门:https://mp.weixin.qq.com/s/osB-BOl6W-ZLTSttTkqMPQ

SpringBoot 并发登录人数控制的更多相关文章

  1. 2017.4.12 开涛shiro教程-第十八章-并发登录人数控制

    原博客地址:http://jinnianshilongnian.iteye.com/blog/2018398 根据下载的pdf学习. 开涛shiro教程-第十八章-并发登录人数控制 shiro中没有提 ...

  2. 第十八章 并发登录人数控制——《跟我学Shiro》

    目录贴:跟我学Shiro目录贴 在某些项目中可能会遇到如每个账户同时只能有一个人登录或几个人同时登录,如果同时有多人登录:要么不让后者登录:要么踢出前者登录(强制退出).比如spring securi ...

  3. 2017.6.30 用shiro实现并发登录人数控制(实际项目中的实现)

    之前的学习总结:http://www.cnblogs.com/lyh421/p/6698871.html 1.kickout功能描述 如果将配置文件中的kickout设置为true,则在另处再次登录时 ...

  4. 并发登录人数控制--Shiro系列(二)

    为了安全起见,同一个账号理应同时只能在一台设备上登录,后面登录的踢出前面登录的.用Shiro可以轻松实现此功能. shiro中sessionManager是专门作会话管理的,而sessinManage ...

  5. Windows登录脚本可以限制并发登录吗

    在Windows服务器中,使用一个Windows登录脚本来限制并发会话靠谱吗? 事实上,这种解决方案存在很多缺点和弱点,并不能满足大中型IT基础设施的安全性需求. 一.使用登陆脚本限制并发会话,恶意用 ...

  6. JAVA之旅(三十三)——TCP传输,互相(伤害)传输,复制文件,上传图片,多并发上传,多并发登录

    JAVA之旅(三十三)--TCP传输,互相(伤害)传输,复制文件,上传图片,多并发上传,多并发登录 我们继续网络编程 一.TCP 说完UDP,我们就来说下我们应该重点掌握的TCP了 TCP传输 Soc ...

  7. SpringBoot注册登录(三):注册--验证账号密码是否符合格式及后台完成注册功能

    SpringBoot注册登录(一):User表的设计点击打开链接SpringBoot注册登录(二):注册---验证码kaptcha的实现点击打开链接      SpringBoot注册登录(三):注册 ...

  8. 063 日志分析(pv  uv  登录人数  游客人数  平均访问时间  二跳率  独立IP)

    1.需求分析 分析指标 pv uv 登录人数 游客人数 平均访问时间 二跳率 独立IP 2.使用的日志(一号店),会话信息 3.创建数据库 4.创建源表,存储源数据 5.创建我们需要的use表 6.创 ...

  9. springboot之登录注册

    springboot之登录注册 目录结构 pom.xml <?xml version="1.0" encoding="UTF-8"?> <pr ...

随机推荐

  1. jQuery上拉加载更多

    <header id="header">首 页</header> <section id="main"> <ul id ...

  2. js中动画原理

    现如今,许多页面上均有一些动画效果.适当的动画效果可以在一定程度上提高页面的美观度,具有提示效果的动画可以增强页面的易用性. 实现页面动画的途径一般有两种. 一种是通过操作JavaScript间接操作 ...

  3. Python正则表达式,看完这篇文章就够了...#华为云&#183;寻找黑马程序员#【华为云技术分享】

    版权声明:本文为博主原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明. 本文链接:https://blog.csdn.net/devcloud/article/detai ...

  4. 是时候考虑让你的Spark跑在K8S上了

    [摘要] Spark社区在2.3版本开始,已经可以很好的支持跑着Kubernetes上了.这样对于统一资源池,提高整体资源利用率,降低运维成本(特别是技术栈归一)有着非常大的帮助.这些趋势是一个大数据 ...

  5. 用Selenium自动化测试时,让ChromeDriver中不显示“正受到自动测试软件控制”

    背景: 在用Selenium做自动化测试的时候,默认ChromeDriver是会提示“Chrom正受到自动测试软件控制”的.如下图这样.但我们有些场景下,不希望这个提示出现.本文探索了几种语言去掉这个 ...

  6. vue反向代理(解决跨域)

    1,vue中有提供反向代理的接口,就是config/index.js中的proxyTable,我的脚手架版本是2.9.6,proxyTable配置初始为空,如下图. 2,将proxyTable配置如下 ...

  7. 添加-ObjC的含义

    http://www.cnblogs.com/yashi88/p/3551947.html 参考文章 当使用某个第三方库时,遇到 出现"selector not recognized&quo ...

  8. 源码分析 RocketMQ DLedger(多副本) 之日志复制(传播)

    目录 1.DLedgerEntryPusher 1.1 核心类图 1.2 构造方法 1.3 startup 2.EntryDispatcher 详解 2.1 核心类图 2.2 Push 请求类型 2. ...

  9. ARTS-S pytorch用c++实现推理

    训练的代码,以cifar为例 # -*- coding: utf-8 -*- import torch import torchvision import torchvision.transforms ...

  10. 【Web技术】276- WebView缓存原理分析和应用

    前言 混合式开发,在产品体验以及页面加载速度的体验上已经非比以往的.今日早读文章由@unclechen分享. 正文从这开始- 一.背景 现在的App开发,或多或少都会用到Hybrid模式,到了WebV ...