asp.net 單點登錄

 

 

 

 

大家開發中可能都碰到的一個問題，怎么使同一個用戶，在同一時間內只允許登錄一次。

很多人都會想到在數據庫中用一個標識字段，登錄進去置1,退出置0,登錄時判斷這個字段，如果是1就說明此用戶在線，不允許登錄，這個方案看似有效，但在實際使用中發現問題很多，比如，用戶不是通過程序中的退出按紐退出，而是直接關閉IE，這樣的話，下次登錄時數據庫里此用戶還在線呢，這個用戶就無法登錄，當然也有一些辦法可以解決這個問題：增加一個定時作業，定期復位那些長時間在線的用戶，這樣又會造成一些問題，如果這個用戶實際上就是使用了這么長時間，那就是誤殺。

通過多次實驗，發現.net本身可以提供這種解決方案。步驟如下：

第一：建立global.asax文件， Session_End 事件中寫入如下代碼：

             Hashtable h = (Hashtable)Application["online"];
             if (h[Session.SessionID] != null)
                 h.Remove(Session.SessionID);
             Application["online"] = h;

第二：修改web.config文件，在system.web 結點里面增加

<sessionState mode="InProc"></sessionState>

這個是為了使用global.asax中的session_end事件生效。

第三：頁面的登錄事件中，判斷登錄用戶是否在服務端全局變量中存在，存在就不允許登錄，不存在就創建。以下是實現過程，登錄按紐的事件中調用。

private void isLogin()
     {
         Hashtable h = (Hashtable)Application["online"];

         if (h == null)
         {
             h = new Hashtable();
         }

         //驗證用戶是否在Application中存在(是否在線)
         IDictionaryEnumerator e1 = h.GetEnumerator();
         bool flag = false;
         while (e1.MoveNext())
         {
             if (checkCookie(e1.Value.ToString()))
             {
                 flag = true;
                 break;
             }
         }
         if (flag)
         {
             Response.Write("<script defer language='javascript'>alert('This user is online!');history.go(-1);</script>");
         }
         else
         {
             loginLogic login = new loginLogic(this.txt_user_id.Text.Trim(), this.txt_password.Text.Trim());

             if (!login.getLoginStatus)
             {
                 Response.Write("<script defer language='javascript'>alert('Invalid UserID or password.Please try again.');</script>");
             }
             else
             {
                 //生成服務端標識值
                 DateTime now = DateTime.Now;
                 string cookieValue = now.Year.ToString() + now.Month.ToString() + now.Day.ToString() + now.Hour.ToString() + now.Minute.ToString() + now.Second.ToString() + now.Millisecond.ToString();
                 //把userid + 標識值寫入全局變量表
                 h[Session.SessionID] = this.txt_user_id.Text.Trim() + "-" + cookieValue;
                 Application["Online"] = h;
                 //把標識值寫入客戶端cookie
                 Response.Cookies["hqs"].Value =cookieValue;
                 Response.Cookies["hqs"].Expires = DateTime.Now.AddDays(1);

                 //用戶信息記入session
                 Session["userid"] = this.txt_user_id.Text.Trim();
                 Response.Redirect("Manage/index.aspx");
             }
         }
     }

private bool checkCookie(string appValue)
     {
         bool isExist = false;

         if (Request.Cookies["hqs"] != null)
         {
             string cookieValue = Request.Cookies["hqs"].Value;

             char[] sp = new char[1]{'-'};
             string appUserid = appValue.Split(sp)[0].ToString();
             string appCookie = appValue.Split(sp)[1].ToString();

             if (appUserid == this.txt_user_id.Text.Trim() && appCookie != cookieValue)
                 isExist = true;
         }
         return isExist;        
     }

注意：在VS2005的內置WEB服務器中測試可能有問題，還在放在IIS的正式環境中去測試.

關於此方案的說明：一般情況下session 的timeout時間為20分鍾，也就是說，如果這個用戶直接關掉瀏覽器，然后馬上再登錄，這個時間session還沒有到期，所有不會觸發global.asax中的session_end事件，所以會提示這個用戶還在線，20分鍾后這個事件執行過后，會刪掉這個不活動的用戶，這時候再登錄就正常了。所以不要認為直接關掉IE后，再登錄進不去了，就認為這個方案無效。

當然，session 的timeout 時間可以修改的，20分鍾不合適可以改。改法如下：

<sessionState mode="InProc" timeout="你認為合適的值"></sessionState>

------------------------

續上篇，現在有新的問題了，如果用戶非正常退出那么，session在20分鍾內不會執行END事件，也就是說用戶還是在線狀態，那么此用戶再次登錄將不被允許。這顯然有點不合理。這個方案就顯得不夠完美了，希望大家補充。

補充：第三步的代碼已更新，可以解決這個問題

 

 

 

 

Asp.net中實現同一用戶名不能同時登陸(單點登陸)

 

Web 項目中經常遇到的問題就是同一用戶名多次登陸的問題，相應的解決辦法也很多，總結起來不外乎這幾種解決辦法：將登陸后的用戶名放到數據庫表中；登陸后的用戶名放到Session中；登陸后的用戶名放到Application中；登陸后的用戶名放到Cache中。一般的這幾種方法都是登陸了之后，如果沒有正常退出，第二次登陸將不被允許。這樣一般都會存在一個問題：如果用戶沒有正常退出系統，那么他接下來繼續登陸的時候，因為Session沒有過期等問題，會被拒絕繼續登陸系統，只能等待Session過期后才能登陸。本文介紹的方法是采用類似於MSN登陸的方法，第二次登陸時會把第一次的登陸注銷掉，第一次登陸將會類似於MSN彈出：您的帳號已在別處被登陸，您被強迫下線的提示信息。

功能實現起來也比較簡單：

登陸用戶名密碼驗證通過之后輸入以下代碼：

Hashtable hOnline = (Hashtable)Application["Online"];
if(hOnline != null)
{
IDictionaryEnumerator idE = hOnline.GetEnumerator();
string strKey = "";
while(idE.MoveNext())
{
if(idE.Value != null && idE.Value.ToString().Equals(UserID))
{
//already login
strKey = idE.Key.ToString();
hOnline[strKey] = "XXXXXX";
break;
}
}
}
else
{
hOnline = new Hashtable();
}

hOnline[Session.SessionID] = UserID;
Application.Lock();
Application["Online"] = hOnline;
Application.UnLock();

用戶登陸的時候將登陸用戶名放在一個全局變量Online，Online為Hashtable結構，Key為SessionID，Value為用戶名。每次用戶登陸時均判斷以下要登陸的用戶名在Online中是不是已經存在，如果存在該用戶名已經被登陸，將第一個人登陸的SessionID對應的用戶名強制變更為XXXXXX，表示該登陸將被強制注銷。

建立一個CommonPage頁，系統中所有的頁面都繼承於CommonPage頁，在CommonPage頁的后台代碼中添加如下代碼：

override protected void OnInit(EventArgs e)
{

Hashtable hOnline = (Hashtable)Application["Online"];
if(hOnline != null)
{
IDictionaryEnumerator idE = hOnline.GetEnumerator();
while(idE.MoveNext())
{
if(idE.Key != null && idE.Key.ToString().Equals(Session.SessionID))
{
//already login
if(idE.Value != null && "XXXXXX".Equals(idE.Value.ToString()))
{
hOnline.Remove(Session.SessionID);
Application.Lock();
Application["Online"] = hOnline;
Application.UnLock();
MessageBox("你的帳號已在別處登陸，你被強迫下線！",Login.aspx);
return false;
}
break;
}
}
}

}

繼承於CommonPage的頁面在刷新時都要執行重載的OnInit中的代碼，取出Online，找到該用戶對應的SessionID，判斷SessionID里對應的用戶名是否變更，如果變更，就強迫下線，清掉Session，轉到Login畫面。

最后需要在Session過期或者退出系統時釋放資源，在Global.asax文件中的Session_End中添加如下代碼：

Hashtable hOnline = (Hashtable)Application["Online"];
if(hOnline[Session.SessionID] != null)
{
hOnline.Remove(Session.SessionID);
Application.Lock();
Application["Online"] = hOnline;
Application.UnLock();
}

如果用戶不正常退出后重登陸，因為重登陸的優先級大，不會影響用戶的登陸，而不正常退出的用戶占用的資源會在Session過期后自動清除，不會影響系統的性能。