本文共 3424 字，大约阅读时间需要 11 分钟。

一. 前言

 在处理项目登录问题的时候，为了账号的安全性以及信息的同步性，有时我们需要做到同一个账户只允许在一处地方登录，如果一个账户在一个处地方登录之后，之后在另一个地方也使用同一个账户登录，则前一个登录的账户就强制下线；

做到这种效果的方式有很多种，比如使用redis、memcache等缓存机制就能轻松实现分布式状态下，控制账户登录的单一性； 本篇博客主要讲解的是在不用redis等缓存机制的前提下，通过后台的拦截过滤器去实现这种效果； 二. 实现思路 

创建一个全局的类SessionSave，用来存储对应的每一个账户登录的sessionId；

在用户登录的时候，根据账户名获取是否已经存储了sessionId，如果存在，则删除原来的那个sessionId，然后重新保存当前的sessionId；如果不存在，则直接保存当前的sessionId；同时将当前的账户信息保存到全局的Session里面； 在action请求的时候，使用拦截过滤器类获取同步session缓存是否有当前账户，如果没有，则直接跳转到登录界面； 如果有，则获取SessionSave里面存储的对应账户的sessionId和获取当前的sessionId，用SessionSave获取的sessionId和当前的sessionId做对比，如果相等，则说明账户在同一个地方登录，直接放行action请求；如果不相等，则说明用户已经在另外一个地方登录，当前登录将被强制下线，action请求被拦截，直接跳转回到登录界面；  三. 实现代码

创建一个全局的SessionSave类，用来存储全局的SessionId静态变量：

public class SessionSave {     private static Map<String, String> SessionIdSave = new HashMap<String,String>();       public static Map<String, String> getSessionIdSave() {         return SessionIdSave;     }       public static void setSessionIdSave(Map<String, String> sessionIdSave) {         SessionIdSave = sessionIdSave;     } } 账户登录的时候保存最新的sessionId，同时，将当前的账户信息保存到全局的Session里面： @ResponseBody @RequestMapping("login") public Map<String, Object> login(HttpServletRequest request, String username) {     //这里忽略其他的登录判断     log.info("用户名" + username);     HttpSession session = request.getSession(true);     User user = userService.getUserMsg(userName);     // 登录成功,保存当前用户登录的sessionId     String sessionID = request.getRequestedSessionId();     String userName = user.getUserName();     if (!SessionSave.getSessionIdSave().containsKey(userName)) {         SessionSave.getSessionIdSave().put(userName, sessionID);     }else if(SessionSave.getSessionIdSave().containsKey(userName)&&!sessionID.equals(SessionSave.getSessionIdSave().get(userName))){         SessionSave.getSessionIdSave().remove(userName);         SessionSave.getSessionIdSave().put(userName, sessionID);     }     Map<String, Object> map = new HashMap<>();     session.setAttribute("userMsg", user);     map.put("result", "success"); } 用户请求action的时候，使用拦截器过滤session中的sessionId： public class LoginFilter implements Filter {     @Override     public void init(FilterConfig filterConfig) throws ServletException {         // TODO Auto-generated method stub     }       @SuppressWarnings("deprecation")     @Override     public void doFilter(ServletRequest request, ServletResponse response,             FilterChain chain) throws IOException, ServletException {           HttpServletResponse servletResponse = (HttpServletResponse) response;         HttpServletRequest servletRequest = (HttpServletRequest) request;           //获取session         HttpSession session = servletRequest.getSession();           //获得用户请求的URI         String path = servletRequest.getRequestURI();                  //获取session的用户信息         User user = (User) session.getAttribute("userMsg");                  //如果是登录界面直接放行         if (path.indexOf("login.do") > -1) {             chain.doFilter(servletRequest, servletResponse);             return;         }           //如果用户信息为空，表明session已经过期或者已经被清空，则跳转到登陆页面         if (user == null) {              servletResponse.sendRedirect(servletRequest.getContextPath() + "/login.do");         } else {             String sessionId = SessionSave.getSessionIdSave().get(user.getUsername());//获取全局类SessionSave保存账户的静态sessionId             String currentSessionId = session.getId();//获取当前的sessionId             if (!currentSessionId.equals(sessionId)) {//如果两个sessionId不等，则当前账户强制下线，需要重新登录                 servletResponse.sendRedirect(servletRequest.getContextPath() + "/login.do");             }else {// 如果是同一账户session则放行请求                 chain.doFilter(servletRequest, servletResponse);             }         }     }       @Override     public void destroy() {         // TODO Auto-generated method stub     } }  四. 总结

不同的框架的登录方式、拦截方式等会有所不同，但实现的思路基本都是如此；

本篇博客使用的是java中基础的登录过滤器doFilter拦截，如果项目中有使用shiro等拦截机制的话，拦截过滤会更加方便；  

转载地址：http://boxai.baihongyu.com/