`
Joo
  • 浏览: 46288 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
文章分类
社区版块
存档分类
最新评论

限制多窗口重复登陆

阅读更多
我们都知道WEB服务器通过识别客户请求中的session id来判断是否返回新的HttpSession,一般情况下这个session ID是保存在客户端cookie中,准确的说是保存在session cookie中。 也就是说一旦关闭浏览器,此session cookie消失,保存其中的session ID也随之消失。再新建的浏览器再次发起请求时,服务器端找不到对应的session ID就会新建一个HttpSession返回给客户。


      现在要求系统防止用户短时间内多次发起同一请求给APP造成业务处理压力,于是在用户登陆后第一次发起此请求时记录当前时间保存到Session中,并且在下次发起相同请求时从Session中去除上次请求时间计算时间差,小于5min时给出提示并驳回请求。但是因为存在上述的问题,聪明(还是狡猾的?)客户利用多次开关浏览器便可以突破这个限制。我现在在想是否能将session ID保存到客户端硬盘的cookie上,即cookie.setMaxAge(N); N>0的方法。但是貌似session ID不能保存到持久化cookie上,不知道各位有没有什么办法?


      另外,如果能顺利地将session ID保存到持久化cookie上,会出现另外一个问题。不同用户在同一台pc上登陆系统,却发送相同的session ID给服务器,显然不对。因此,得让存在持久化cookie上的session ID根据系统登陆用户不同而不同,这需要在把cookie放到HTTP HEAD之前,拿到session ID并根据当前登陆用户做处理。不过对cookie的处理是在服务器端执行reqeust.getSession()的时候直接去cookie中的JSESSIONID属性,我怎么

才能让cookie中保存多个JSESSIONID呢


      顺便提一下,我们生产环境上4台WEB SERVER,配置了Session共享和session粘性,即对客户来说,就跟只有一台WEB一样。另外,我们有SSO,但是cookie.setMaxAge(-1);于是跨浏览器的话Session又是新的了

case0079 写道
URL REWRITE

URL REWRITE前提是服务器端给返回一个JSESSIONID,但如果客户端给过去的jsessionid每次都不同,如何指望返回来的东东的正确性呢。
同上,棘手的不是server side,而是client side

凤舞凰扬 写道
引用
好像服务器就是根据session id来判断是否是同一个用户的,如果是一有的seesion id,则会将请求分流到之前处理这个请求的节点上。现在的问题是session id在每次IE关掉之后在客户端都没有了,服务器没办法进行识别。
不知道我的理解是否正确

   我们常说的session id是服务器判断与之相连接的客户端的会话,实质上,和我们另外一个角度理解的用户是有区别的。你说的没错,如果已经存在session,就转发。不过后面一句就陷进去了。其实我前面说过,你需要传递另外一个东西,jsessionId,你在很多网站都可以看到这种应用(尤其是IBM的),对于转发服务器来说,是否存在http session并不重要,没有创建一个就是。你session中存储的数据并不在其中,而是在你对应的JVM节点中,而它是可以通过jsessionId这样的方式去获取的。
   至于说怎么识别这样的东西,其实所有的支持负载均衡多个JVM节点并存的服务器都支持。或者大不了如楼上所说,自己建立中央缓存,自己在程序中识别这样的request参数。


大概明白您的意思了。即把session id存放在JVM SESSION中而非HTTP SESSION中,跟之前那位兄弟提到的memcache方案基本相似。但关键是,这个seesion id在第一次被HttpSession返回来后,如果想在下次发起请求是将其原样送给服务器,就必须有一个机制在客户端能让其存活下来,而以浏览器为单位的session cookie是做不到的。

也就是说,问题的关键不是服务器端没办法识别jsessionid,而是这个jsessionid在客户端没法持久化。除非...我能通过在客户端JS上自己动手伪造一个跟登录客户ID相关的jsessionid出来

分享到:
评论
50 楼 angelbear220 2010-09-19  
1.登录页面-------》登录-------》根据用户名读取登录记录表-------》存在有效的session转步骤2-----》保存登录用户名及对应的sessionID到登录记录表---》进行其他操作。
2.该用户当前有效的session存在-----》提示用户上次登录未正常退出----》方案一:将上次session失效,给本次登录重启一个session。方案二(没试过):用从数据库中原sessionId重写客户端的sessionId,以恢复上次会话。----》进行其他操作

49 楼 hhww0101 2010-09-08  
可以考虑使用Application,还可以防止客户多浏览器登录,或者同一帐号,同时多次登录。
48 楼 gavin.zheng 2010-01-01  
忘记说了, 那个dsession保存的部分上次session串是用来比较是否是新开游览器的
47 楼 gavin.zheng 2010-01-01  
非常简单的解决方法,使用cookie技术:
在服务器上作一个filter, 获得当前jsession内容,然后新建个cookie 假设为dsession  把jsession+当前time 组合编码 保存到client,  此cookie保存时间为 5分钟
1, 假设新开游览器在5分钟内, 则存在dsession ,那么的话,client可以知道判断出对方不可以使用此功能,
2, 如果在5分钟外,则不存在 ,则新建dsession
46 楼 Joo 2009-12-31  
45 楼 wanglei1314520 2009-12-29  
我的思路:
在用户表里增加三个字段:登陆时间、session标识、登陆标识(0,1)
用户登陆时如果登陆标识为0(未登录),则把登陆时间、sessionid保存db中并设置登陆标识为1
用户登陆时如果登陆标识为1(已登录),则取db中的登陆时间与当前时间做差,如果小于5min则提示不能登陆(如果想把之前登陆的T掉,可以在用户登陆时把sessionid和session对象保存在application中,当用户登陆时如果登陆标识为1,则从db中取登陆用户的sessionid,根据此sessionid从application中取得session对象并销毁)
-----------------------------
在项目里加个session监听,当session销毁事件触发时,取得销毁的sessionid,并把db中对应记录的登录标识改为0
44 楼 ywlqi 2009-12-28  
lydawen 写道
kunee 写道
说来说去不就是少了个记录的地方吗

数据库是干什么用的


在高并发的场景下少查数据库(I/O)才是最终需要做到的


原则是对的,但只是在用户登录时做一下我认为代价还是允许的
论坛是很典型的例子,论坛的访问量够大吧,论坛都做用户上次登录时间记录,我相信绝大部分应用这样做应该不是问题
43 楼 Joo 2009-12-28  
redwatch 写道
其实很简单

你在客户端浏览器用AJAX每隔一段一时间对服务器进行一交请求(如:每秒一次)

如果发现在这个session 之后还有同一个用户登陆,注消前一个session ,旧session客户端浏览器页面退出(有果还没有关闭),用最新的session

返正服务器端能保留一个用户一个session(一一对应),在每增加session前检查该用户有没有登陆

貌似这样做的压力也小不了
我们现在已经在组织研讨设计新UM架构,包括SSO的设计也可能redesign,建设跨HttpSession的缓存机制势在必行
既然不用HttpSession了,也就没必要一定要挂在JSESSIONID这棵树上吊死
42 楼 vvggsky 2009-12-28  
引用
  我现在在想是否能将session ID保存到客户端硬盘的cookie上,即cookie.setMaxAge(N); N>0的方法。但是貌似session ID不能保存到持久化cookie上,不知道各位有没有什么办法?


通常session是不能跨窗口使用的,当你新开了一个浏览器窗口进入相同页面时,系统会赋予你一个新的sessionid,这样我们信息共享的目的就达不到了,我们可以先把sessionid保存在cookie中,然后在新窗口中读出来,就可以得到上一个窗口SessionID了,这样通过结合JSESSIONID 这个cookie来实现跨浏览器访问。
41 楼 lydawen 2009-12-28  
kunee 写道
说来说去不就是少了个记录的地方吗

数据库是干什么用的


在高并发的场景下少查数据库(I/O)才是最终需要做到的
40 楼 redwatch 2009-12-28  
其实很简单

你在客户端浏览器用AJAX每隔一段一时间对服务器进行一交请求(如:每秒一次)

如果发现在这个session 之后还有同一个用户登陆,注消前一个session ,旧session客户端浏览器页面退出(有果还没有关闭),用最新的session

返正服务器端能保留一个用户一个session(一一对应),在每增加session前检查该用户有没有登陆
39 楼 ywlqi 2009-12-28  
感觉楼主被JSESSIONID给绕进去了,其实就像前面兄弟说的在数据库增加上次登录时间一个字段完全可以解决问题
另外楼主用了SSO,在SSO server端也可以解决问题,当然如果sso server也是多机配置的话同样要注意session 共享的问题
个人认为用数据库是最简单的解决方案
38 楼 522656914 2009-12-28  
浏览器的关闭时间应该可以捕获吧,我在校内网上写日志的时候传了照片,在日志没写完的时候我不想写了,就关了浏览器,这时竟然弹出一个对话框问我是否放弃本次日志,点击确定后提交了表单才关闭的。
37 楼 ebeach 2009-12-27  
参见 http://tomcat.apache.org/tomcat-5.5-doc/servletapi/javax/servlet/http/HttpSessionBindingListener.html

javax.servlet.http.HttpSessionBindingListener
valueBound(HttpSessionBindingEvent event);
valueUnbound(HttpSessionBindingEvent event);

借助Session监听可以完成你要的功能。
36 楼 Joo 2009-12-27  
最后还是来总结一下吧,就是自造JESSIONID和memcache结合来搞定
35 楼 xieke 2009-12-27  
请参见这个老帖子:
http://www.javayou.com/diary/8534
34 楼 nishizhutou 2009-12-27  
将业务bizID合并为一个参数存到cookie中.
如:biz.username=bizID;
然后页面提交的时候找到当前username对应的bizID,将其传回来.

服务端建立userName和bizID以及IP的对应关系.
33 楼 Joo 2009-12-26  
凤舞凰扬 写道
引用
好像服务器就是根据session id来判断是否是同一个用户的,如果是一有的seesion id,则会将请求分流到之前处理这个请求的节点上。现在的问题是session id在每次IE关掉之后在客户端都没有了,服务器没办法进行识别。
不知道我的理解是否正确

   我们常说的session id是服务器判断与之相连接的客户端的会话,实质上,和我们另外一个角度理解的用户是有区别的。你说的没错,如果已经存在session,就转发。不过后面一句就陷进去了。其实我前面说过,你需要传递另外一个东西,jsessionId,你在很多网站都可以看到这种应用(尤其是IBM的),对于转发服务器来说,是否存在http session并不重要,没有创建一个就是。你session中存储的数据并不在其中,而是在你对应的JVM节点中,而它是可以通过jsessionId这样的方式去获取的。
   至于说怎么识别这样的东西,其实所有的支持负载均衡多个JVM节点并存的服务器都支持。或者大不了如楼上所说,自己建立中央缓存,自己在程序中识别这样的request参数。


大概明白您的意思了。即把session id存放在JVM SESSION中而非HTTP SESSION中,跟之前那位兄弟提到的memcache方案基本相似。但关键是,这个seesion id在第一次被HttpSession返回来后,如果想在下次发起请求是将其原样送给服务器,就必须有一个机制在客户端能让其存活下来,而以浏览器为单位的session cookie是做不到的。

也就是说,问题的关键不是服务器端没办法识别jsessionid,而是这个jsessionid在客户端没法持久化。除非...我能通过在客户端JS上自己动手伪造一个跟登录客户ID相关的jsessionid出来


case0079 写道
URL REWRITE

URL REWRITE前提是服务器端给返回一个JSESSIONID,但如果客户端给过去的jsessionid每次都不同,如何指望返回来的东东的正确性呢。
同上,棘手的不是server side,而是client side


GeassLei 写道
spring security里也有一个防止重复登录的过滤器,楼主可以参考一下,实现方法去上面所说的大概相同

这个之前有兄弟提到过,正在研究中,谢谢提醒
32 楼 GeassLei 2009-12-26  
spring security里也有一个防止重复登录的过滤器,楼主可以参考一下,实现方法去上面所说的大概相同
31 楼 GeassLei 2009-12-26  
自己写一个单例程序
里面拿着所有的session的引用,当session销毁里也把引用删除掉。当新的用户登录里,就用session里面存储的username(在表里是唯一的那个)来比较是否用户已经登录了。

相关推荐

    C#防用户重复登录的方法.NET

    这主要是为了防止恶意用户通过多次登录尝试绕过系统的安全性,或者是为了保护用户的账户,避免他们意外地在多个窗口或浏览器标签页中保持活动状态,可能导致数据混乱或隐私泄露。以下是一些常见的防止用户重复登录的...

    易语言限制异地重复登陆

    在本案例中,我们讨论的主题是“易语言限制异地重复登陆”,这是一个针对网络应用登录安全性的解决方案。 异地登录限制通常用于防止未经授权的用户在不同地点使用同一账号,比如防止盗号者在其他地区尝试登录。这样...

    asp.net下一个账号不允许多个用户同时在线,重复登陆的代码

    方法一: 复制代码 代码如下: string sKey = username.Text.ToString().Trim(); // 得到Cache中的给定Key的值 string sUser = Convert.ToString(Cache[sKey]); // 检查是否存在 if (sUser == null || sUser == String...

    Asp.net mvc 权限过滤和单点登录(禁止重复登录)

    禁止重复登录是指在单点登录系统中,确保用户在同一时间只能在一个会话中保持登录状态,如果用户试图在一个新的设备或浏览器窗口中登录,系统需要处理好旧会话与新会话的关系,确保旧会话被安全地登出。 在上述代码...

    .net C# 通过session控制重复登录及在线用户统计

    - **强制登出**:销毁当前`Session`,并允许新登录,这样可以防止同一用户在多个设备或浏览器窗口同时登录。 - **多设备支持**:允许用户在多个设备上同时登录,但限制某些操作(如修改密码)只能在一个会话中进行...

    asp.net 防止同一用户同时登陆

    在ASP.NET开发中,确保系统安全性的一个关键方面是防止同一用户在同一时间从多个设备或浏览器窗口登录。这种安全措施不仅可以防止潜在的安全威胁,如账户冒用,还可以避免因多处登录而造成的资源浪费和数据冲突。...

    微信(WeChat)电脑端多开工具源码

    多开工具通过模拟不同的环境或者修改客户端的启动逻辑,绕过了这一限制,使得用户可以同时打开并登录多个微信账户。这通常涉及到进程管理、内存操作和网络通信等多个方面的知识。 在实现上,多开工具可能包含以下...

    SecureCRT远程登陆工具

    10. 会话同步:在多窗口同时打开同一会话时,SecureCRT能同步所有窗口的滚动条,保持查看内容的一致性。 11. 键绑定:可以自定义键绑定,比如将Ctrl+C、Ctrl+V映射为发送特定字符序列,适应不同操作习惯。 12. ...

    易语言源码简单的登陆密码验证.7z

    步进、重复...直到)等,用于实现逻辑判断和循环执行。 2. **密码验证原理**: - **用户输入**:程序通常会通过消息框或对话框获取用户的输入,这里是登录密码。 - **比较验证**:将用户输入的密码与预设的正确...

    中软国际jsp实现网站登陆、注销实例

    【用户重复登录限制】为了防止用户重复登录,可以采用以下策略:一是设置唯一登录会话,当用户在新设备或新窗口尝试登录时,检查其已有会话,若存在则强制注销旧会话;二是使用数据库记录在线状态,登录时检查用户...

    易语言程序的登陆界面(仿制)

    这个“易语言程序的登陆界面(仿制)”项目显然是一个教学或示例程序,旨在教授如何使用易语言创建类似常见应用软件的登录界面。下面将详细讨论易语言、登录界面的构建以及相关知识点。 1. **易语言基础**: - **...

    素材 学生管理系统登陆素材

    描述中的“素材 学生管理系统登陆素材”是对标题的重复,进一步强调了这是一组专门针对学生管理系统登录功能的设计资源。这些素材可能涵盖了登录界面的各种元素,如输入框、按钮、背景图案以及可能的动画效果等,...

    轩溪下载系统 v3.81.rar

    分别为文字 、图片、Flash、弹出窗口以及模态窗口(网页对话框).支持自定义广告内容. (5)、自定义会员的等级,可选会员注册是否开放,可选会员功能是否开启,会员资格时间限制.可选注册时默认超期天数;可选注册立刻激活...

    如何不让别人在你的电脑上登陆QQ.docx

    **解除限制方法:** 如果需要恢复QQ的正常使用,只需要重复以上步骤,在“路径属性”对话框中将“安全级别”更改为“不受限”,然后点击“确定”。 #### 二、文件夹只读法 **步骤1:** 查看QQ安装位置 右键点击...

    轩溪下载系统3.78

    可选下载地址的会员等级限制. (8)、提供多个系统工具:批量修改下载地址,空间占用查看,备份、恢复、压缩数据库. (9)、软件文章采集:自定义采集源,无需学习正则表达式,支持防重复采集,支持内容分页采集.支持...

    爱转发破解版 巅峰时代破解版

    2.自动接受电脑微信登陆(开启后不在家即可电脑登陆) 3.安卓首款突破20秒视频限制转发(全网独家) 4.无限暴力有效添加群和附近人(可分批可设置验证语) 5.24小时自动关键词回复可编辑(全网独家 6.一键...

    十年抽奖系统 V 5.73

    正版软件待抽奖人数不做限制,非常适合工厂企业用来举办抽奖活动,即高效、又公平、更大气!可以自定义公司名称、活动名称、抽奖人员名单…… 由于版本内容更新改动较大,从 V 5.71以后版本的注册码跟以前版本注册...

    十年抽奖系统 V 5.76

    正版软件待抽奖人数不做限制,非常适合工厂企业用来举办抽奖活动,即高效、又公平、更大气!可以自定义公司名称、活动名称、抽奖人员名单… … 由于版本内容更新改动较大,从 V 5.71以后版本的注册码跟以前版本注册...

    十年抽奖系统 V 5.77

    正版软件待抽奖人数不做限制,非常适合工厂企业用来举办抽奖活动,即高效、又公平、更大气!可以自定义公司名称、活动名称、抽奖人员名单… … 由于版本内容更新改动较大,从 V 5.71以后版本的注册码跟以前版本注册...

    十年抽奖系统 V 5.74

    正版软件待抽奖人数不做限制,非常适合工厂企业用来举办抽奖活动,即高效、又公平、更大气!可以自定义公司名称、活动名称、抽奖人员名单… … 由于版本内容更新改动较大,从 V 5.71以后版本的注册码跟以前...

Global site tag (gtag.js) - Google Analytics