网站首页/技术开发列表/内容

防范多人运用统一用户上网与用户非正常退出注销问题

技术开发2022-05-13阅读
1,不要完全靠session来控制,session会有一个失效时间,这个时间不宜设的太短,否则正常工作会受影响。用监听事件的方法也是不可取的,事实上这个事件也会等到session过期的时候才会触发。
2,可以采用隐藏桢的方式来检测用户的在线,这个时间可以设的比较短。比如5分钟。就像dev-club.com一样。在这个桢里得到用户名,当时的IP,以及访问时间。记录在application中。
3,当另有用户来访问的时候,就判断在application的数据,如果已经有该用户的访问记录,就按IP和时间来判断,是否可以继续。比如说IP不同,但时间隔了很久了,就允许访问。
4,你还可以再写一个后台进程来对application中的过期数据进行清理。
5,对于使用代理或网关访问的用户判断可以这样,session对象有一个方法叫getId(),可以得到一个唯一的ID。即使使用同一IP来访问,这个ID也是不同的,可以加以区分。

嗯。以上都是理论。我没有做过。但应该是可行的。



原问题
xinlcao 于 2002-12-21 11:06:09 加贴在 Java程序设计 ←返回版面 
请高手帮忙,遇到两个问题:
1、如何限制同一账号在同一时间只能有一名用户使用,即防止多人使用统一用户上网;
2、如何在用户直接关闭浏览器而不是按退出按钮时注销用户。
我不知道这两个问题能否在b/s结构中很好的解决,请高手指点。
下面是我的想法和疑惑:
1、可以通过cookie或session取得用户登陆的记录,但由于http协议的连接不连续,如果两个用户用同一账号上网,只要不是同时向服务器请求,就无法知道到底是不是合用同一账号,曾想试着同时记录用户上网时的用户名和ip地址,只要在一定时间内登陆的同一用户名对应的ip地址不同,即可认为是合用同一账号,但又引出两个新的问题:(1)如果两个用户在网吧上网或有代理服务器的内部网上网,则获得的ip地址也可能相同;(2)如果一个用户拨号上网,突然计算机死机或突然网络中断,当他再次上网时,由于拨号每次ip都可能不同,系统将把它当作另一个用户处理。
2、想过制作一个记录用户登陆信息的类class UserLogin,然后启动一个线程不停的定时查看登陆用户的信息,根据一定的规则检查用户的合法性,但也无法解决上面的问题。
3、对于用户非正常退出的注销,曾试着用监听session的值来判断:
public class UserLogin implements HttpSessionBindingListener:声明类时引入监听器
public void valueUnbound(HttpSessionBindingEvent e):获得session时的事件
public void valueBound(HttpSessionBindingEvent e):获得用户登陆时向session写入数据时的事件
一个用户登陆时好判断,只要从e中得到当时的session,然后从中获得向session中写入的变量和值,但是当用户由于session失效退出时,又无法判断,因为这时无法知道是哪个用户退出了,从e中获得的session已经是实效的了。
先谢谢大家的帮忙!!!帮忙帮忙

参见:http://www.dev-club.com/club/bbs/showAnnounce.asp?id=1839973

……

相关阅读