同一个账号如何实现多端登录强制下线的功能

在实际的开发中有很多的业务场景会涉及到同一个账号只能允许在一个地方登录,典型的如在一些视频类的网站中为了避免一个VIP会员被多人同时使用的问题,通过就会设计强制踢出下线的功能(同时在多个终端登录同一个账号,那么原来已经登录的账号就会被强制的踢下线),如下是我们常见的强制下线的提示框:

下面我们来聊聊如何实现强制下线的功能。

1、基于session和cookie单体架构下的实现方案

基于session和cookie来实现登录会话的存储设计方案中,核心的是就是服务器给浏览器的sessionId,那么强制下线的功能就围绕这个sessionId来展开,我们利用全局的Map<sessionId,session>来帮助我们实现,具体的流程如下所示:

(1)用户1登录账号A的时候,通过拦截器拦截用户的请求,然后查询全局的Map是否存在session信息

(2.1)如果存在session信息,此时说明账号A已经在其他的地方登录了,那么弹出弹框提示用户是否做强制下线操作,如果用户点击了确认强制下线,那么就删除全局Map中的session。保存新的session和sessionId的关系,这样下次登录账号A的其他地方再次登录的时候发现session已经失效,就需要重新登录。

(2.2)如果不存在session信息,那么直接保存session和sessionId的关系到全局的Map中。

(3)服务器返回sessionId给客户端

(4)设置session监听器监听session的创建和销毁,当监听到session被销毁需要在全局变量Map中移除session。

2、基于token的实现方案

token是服务器颁发的,当用户登录成功之后服务器生成一个唯一的token来存储用户基本信息。如何删除token就是我们多端登录下线的着手点,基于token的登录方案实现强制下线功能的流程如下:

(1)用户A使用账号A请求登录,然后服务器查询redis中是否存在userId对应的token信息

(2.1)如果存在token信息,那么就说明当前的账号A已经在其他的地方登录过了,此时就需要弹框提示用户是否强制下线其他地方的登录,如果用户确认之后,就删除当前的redis中缓存的token与userId的关系,并且重新保存新的 toke n 和 userId 的映射关系。当其他地方再次使用账号A请求服务器的时候,此时由于token中无法找到userId的信息,就需重新登录

(2.2)如果不存在token信息,保存 user Id与 t oken 信息的映射关系

(3)返回token给客户端

3、基于JWT的实现方案

JWT登录方案中用户的信息都保存在JWT中,在服务端不会保存任何的信息,判断用户登录信息是否有效就是根据这个JWT能否正常解析数据并且是否在有效期内,那么JWT方案中实现多端强制下线的功能我们可以参考Token的实现方案,如下所示的流程图:

我们将颁发给用户的JWT信息也缓存一份到redis上,这样redis上维护了一套userId和JWT的映射关系,剩下的就和token的强制下线方案流程一样了。

总结:

(1)基于cookie+session方式登录的方案,可以使用全局的Map来实现多端登录强制下线的功能。

(2)基于token和JWT方式登录的方案,可以借助redis来实现多端登录强制下线。

9