一、原理

1. 异地登陆

同一个账号，在不同的电脑(也可以不同的浏览器)登陆系统，前一个已经登陆的账号session被销毁，用户进行下一步操作时跳转错误页面。

2. 超时登陆

登陆后无操作*分钟后自动销毁session，用户进行下一步操作时跳转错误页面。

3. 区分

异地登陆和超时登陆起效时跳转的错误页面不相同。

二、实现

1. 超时登陆

由系统控制，在web.xml中配置，或者由监听器控制，利用session.setMaxInactiveInterval(interval);方法控制，本次主要展示在web.xml中配置的方法，如下：

30

2. 异地登陆

首先在Controller中判断登陆用户的账号密码是否正确，通过以后判断session是不是异地登陆(过程在监听器中判断，此处判断监听器处理后的返回值)，如果是，session销毁，如下：

@RequestMapping("/loginCheck")

@ResponseBody

public Map loginCheck(HttpServletRequest request, String userLoginNumber, String userLoginPasswd) {

Map ret = new HashMap(2);// 存储错误信息的Map容器

String errorMsg = "";// 错误信息

HttpSession session = request.getSession();

/*

代码块，判断账号，并给errorMsg赋值或不赋值(正确)

*/

if (/* 账户判断成功，没有错误信息 */) {

/*

监听器实现HttpSessionListener和HttpSessionAttributeListener接口。

监听器private static一个Map类型的变量。

当监听到对Attribute操作时(登陆验证成功向session添加用户数据，一般都会用到)，进入

HttpSessionAttributeListener.attributeAdded()方法，向公共map变量放入数据。

当监听到session销毁操作时，进入HttpSessionListener.sessionDestroyed()方法，将公共map

里的值移除。

LoginListenner.isLogonUser()就是得到map中存储的值

*/

HttpSession isLoginSession = LoginListenner.isLogonUser(userLoginNumber);

if (null != isLoginSession) {// 如果没有，则当前session是一个新的session，之前的session已经销毁

// 异地登陆: 在监听器中区分超时和异地登陆, 在拦截器中判断

isLoginSession.setAttribute("sessionDestroyedStatus", "busy");

isLoginSession.invalidate();// 表示异地登陆，销毁session

}

ret.put("result", "1");

}

return ret;

}

监听器实现(原理在上面)，包括区分异地登陆和超时登陆需要跳转不同页面的处理，过程如下：

import java.util.HashMap;

import java.util.Map;

import javax.servlet.http.HttpSession;

import javax.servlet.http.HttpSessionAttributeListener;

import javax.servlet.http.HttpSessionBindingEvent;

import javax.servlet.http.HttpSessionEvent;

import javax.servlet.http.HttpSessionListener;

import org.apache.commons.lang3.StringUtils;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import com.nielsen.sfa.common.Constants;

import com.nielsen.sfa.model.User;

import com.nielsen.sfa.utils.CommonUtil;

/* @Description: 登录监听类-处理同一时间只允许账号，单地点登录

*/

public class LoginListenner implements HttpSessionListener,HttpSessionAttributeListener {

/**

* 用于存放账号和session对应关系的map

*/

private static Map map = new HashMap();

Logger log = LoggerFactory.getLogger(LoginListenner.class);

public void sessionDestroyed(HttpSessionEvent se) {

// 如果session销毁, 则从map中移除这个用户

try {

HttpSession session = se.getSession();

System.err.println(session);

// mobileLoginUser.remove(se.getSession());

User user = (User) se.getSession().getAttribute(Constants.USER_INFO);

if(null != user && StringUtils.isNotBlank(user.getUserLoginNumber()))

map.remove(user.getUserLoginNumber());

/*

在这里做区分异地登陆和超时登陆跳转不同的错误页面的区分：

超时登陆：由系统自动销毁，没有标识符

异地登陆：手动销毁，销毁前用setAttribute()标识这个session销毁原因是异地登陆

注意：如果是另外有手动调用session.invalidate()，也需要注明，如下手动退出

然后，因为session是要销毁的，这里我们用一个公共类的公共变量Map存储标识符，

然后去拦截器中判断，并控制跳转错误页面。

*/

// 判断session是怎么被销毁的, 并存入Map给拦截器判断(区分超时登录和异地登陆)

if (null == se.getSession().getAttribute("sessionDestroyedStatus")) {// 超时自动销毁

CommonUtil.sessionStatusMap.remove("sessionDestroyedStatus");

CommonUtil.sessionStatusMap.put("sessionDestroyedStatus", "timeout");

} else if (se.getSession().getAttribute("sessionDestroyedStatus").equals("busy")) {// 异地登陆时setAttribute

CommonUtil.sessionStatusMap.remove("sessionDestroyedStatus");

CommonUtil.sessionStatusMap.put("sessionDestroyedStatus", "busy");

} else if (se.getSession().getAttribute("sessionDestroyedStatus").equals("logout")) {// 手动退出

CommonUtil.sessionStatusMap.remove("sessionDestroyedStatus");

CommonUtil.sessionStatusMap.put("sessionDestroyedStatus", "logout");

}

}catch (Exception e) {

log.error(e.getLocalizedMessage(),e);

}

}

/**

* 当向session中放入数据触发

*/

public void attributeAdded(HttpSessionBindingEvent event) {

String name = event.getName();

if (name.equals(Constants.USER_INFO)) {

User user = (User) event.getValue();

// if (map.get(Constants.USER_INFO) != null) {

// HttpSession session = map.get(user.getUserLoginNumber());

// session.removeAttribute(user.getUserLoginNumber());

// session.invalidate();

// }

map.put(user.getUserLoginNumber(), event.getSession());

}

}

/**

* 当向session中移除数据触发

*/

public void attributeRemoved(HttpSessionBindingEvent event) {

String name = event.getName();

if (name.equals(Constants.USER_INFO)) {

User user = (User) event.getValue();

map.remove(user.getUserLoginNumber());

}

}

public void attributeReplaced(HttpSessionBindingEvent event) {

}

public static HttpSession isLogonUser(String loginNumber) {

return map.get(loginNumber);

}

@Override

public void sessionCreated(HttpSessionEvent se) {

}

}

然后我们在springMVC的拦截器中实现(拦截器配置这里就不写了)：

import java.io.PrintWriter;

import javax.servlet.RequestDispatcher;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

import org.apache.commons.lang3.StringUtils;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;

import com.nielsen.sfa.model.User;

import com.nielsen.sfa.utils.CommonUtil;

public class LoginInterceptor implements HandlerInterceptor {

@Override

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

String contextPath = request.getServletContext().getContextPath();

HttpSession session = request.getSession();

User user=(User)session.getAttribute("userInfo");

/*

在监听器中处理好的map，在这里判断，跳转对应的错误页面

注意：跳转前需要把公共map中的值remove掉，否则会报错

*/

if (user == null || StringUtils.isEmpty(user.getUserLoginNumber())) {

/*

这里单独处理拦截AJAX请求的原因：session销毁后如用户正在进行AJAX操作中(打开AJAX页面或控件部件，只差一个提交的情况)可以正常操作

*/

// 拦截AJAX请求

if (request.getHeader("X-Requested-With") != null && request.getHeader("X-Requested-With").equalsIgnoreCase("XMLHttpRequest")) {

response.setCharacterEncoding("UTF-8");

response.setContentType("text/html");

// 判断session销毁的状态，设置header，在前端ajax error中判断

if (null == CommonUtil.sessionStatusMap.get("sessionDestroyedStatus")

|| CommonUtil.sessionStatusMap.get("sessionDestroyedStatus").equals("timeout")) {// session超时过期

CommonUtil.sessionStatusMap.remove("sessionDestroyedStatus");

response.setHeader("sessionStatus", "timeout");

return false;

} else if (CommonUtil.sessionStatusMap.get("sessionDestroyedStatus").equals("busy")) {// 异地登陆

CommonUtil.sessionStatusMap.remove("sessionDestroyedStatus");

response.setHeader("sessionStatus", "busy");

return false;

}

}

// "sessionDestroyedStatus"在loginController中设置

if (null == CommonUtil.sessionStatusMap.get("sessionDestroyedStatus")

|| CommonUtil.sessionStatusMap.get("sessionDestroyedStatus").equals("timeout")) {// session超时过期

CommonUtil.sessionStatusMap.remove("sessionDestroyedStatus");

String requestStatus = request.getParameter("requestStatus");

/*

文件上传也会拦截不了，所以手动在前端设置标识符

*/

if (requestStatus != null && requestStatus.equals("uploadFile")) {// 如果该请求是文件上传

response.setCharacterEncoding("UTF-8");

response.setContentType("text/html");

PrintWriter out = null;

out = response.getWriter();

out.print("timeout");

out.flush();

} else {

response.sendRedirect(contextPath + "/jsp/login.jsp");

}

return false;

} else if (CommonUtil.sessionStatusMap.get("sessionDestroyedStatus").equals("busy")) {// 异地登陆

CommonUtil.sessionStatusMap.remove("sessionDestroyedStatus");

response.sendRedirect(contextPath + "/jsp/abnormal/notAuthorized.jsp");

return false;

}

}

return true;

}

@Override

public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

System.out.println("postHandle");

}

@Override

public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

System.out.println("afterCompletion");

}

}

3. 区分

这里的区分主要是跳转区分，就是根据存储在内存中的公共map标识符，在拦截器中判断跳转，代码如上。

三、建议

百度了一圈发现大家都建议对session的attribute进行操作而不建议销毁整个session，因为会遇到如下的几个坑，还有后期维护不方便，还好我写了很多注释，感觉不加注释以后别人要理解好久。

1. 说一下遇到的坑

因为session调用销毁方法，已经销毁了，你无法判断这个session有没有被销毁，null != session可不行，因为session销毁的原理是：“里面的值被清空，就是Attribute清空，然后这个session对象还在的，但是只是把isValid属性设置为false，并且对象不能被获取了，session id不变，除非你又创建了新的session”。

就是当我们要手动销毁session时，外面无法判断session有没有被销毁，用null != session判断显然是不行的，用session.isNew()和request.isRequestedSessionIDValid()判断，经测试也是不行的，当session已经被销毁，再进行session.invalidate()等对session进行操作的方法操作时，就会报错“session already invalidate”。

而最直观的isValid属性只能在DEBUG模式下看到，而不能直接调用判断，就是这一点比较坑，目前我在百度找的还没有什么解决办法，希望我是抛砖引玉，有大神可以解答，或者我以后找到了解决方案会随时更新。