snowfox373 2007-11-26 09:51
Asp.net中防止用户多次登录的方法
在web开发时,有的系统要求同一个用户在同一时间只能登录一次,也就是如果一个用户已经登录了,在退出之前如果再次登录的话需要报错。 (n4O�W8K H2H
常见的处理方法是,在用户登录时,判断此用户是否已经在Application中存在,如果存在就报错,不存在的话就加到Application中(Application是所有Session共有的,整个web应用程序唯一的一个对象):[code]string strUserId = txtUser.Text; X/h4c�l1Y�c2_�b
ArrayList list = Application.Get("GLOBAL_USER_LIST") as ArrayList;
�`!{�l7Z
j�m6c)s
if (list == null)
]!T�j�U ~
{ 1Q,}�s+P�G
b(T�F�V
list = new ArrayList(); 5u%w X�|5J�D%?
}
�d6g {#[3} y
for (int i = 0; i < list.Count; i++) "[$w�o't7X R7D
{
�N+M�o'f#N A.L
if (strUserId == (list[i] as string))
�_�d�H
f'k�K�J�I
~*m(T�K/y
{ 3y�S�?�F5F2B
//已经登录了,提示错误信息
6_1l�E�a�I7a�v
lblError.Text = "此用户已经登录"; �m9M9z.x�k!G'A(e�@
return; �@�A+f#L�F:f;b�j:r�a�?
}
�x!{ p�q(c�A�|1L�t
}
(T�A�Y�C+}�b�q$?
list.Add(strUserId); .b2]�x @ z$o�}
t�?
Application.Add("GLOBAL_USER_LIST", list);[/code] 当然这里使用Cache等保存也可以。 9~(U�O�y�N"j3V�}
�f�b�H
c�J�m&b:y;q
!B�K#v-E*V:k;Y�k
�H b.s�g�z�w$|
接下来就是要在用户退出的时候将此用户从Application中去除,我们可以在Global.asax的Session_End事件中处理:[code]void Session_End(object sender, EventArgs e) %p'l�h�`5L"y7r�H
{
�v�B6?�O1U�r�O
// 在会话结束时运行的代码。
�k�?-t)]�G�V�I
// 注意: 只有在 Web.config 文件中的 sessionstate 模式设置为 �H�S�^7F%h�i
D
// InProc 时,才会引发 Session_End 事件。如果会话模式设置为 StateServer #N:X�x.Q�O4_�m
// 或 SQLServer,则不会引发该事件。 :S2\2u1l1b/W
string strUserId = Session["SESSION_USER"] as string;
:G8a3Y1}�}�f0h
ArrayList list = Application.Get("GLOBAL_USER_LIST") as ArrayList; 4l�S%t$^�\8v3N�I
if (strUserId != null && list != null) �T�[7i�K6r4b f�@�X2j
;]�P�M�Q$a D
�q0S*b*C�o
B5v�K�h"]
{ �l$I.a�y�U X4u
list.Remove(strUserId);
6f+k$w�o�n'{�G v�x�b
Application.Add("GLOBAL_USER_LIST", list); �l,a2f!p�~-~�t'x
}
u6P+v�N�n+O�W�]
}[/code] 这些都没有问题,有问题的就是当用户直接点浏览器右上角的关闭按钮时就有问题了。因为直接关闭的话,并不会立即触发Session过期事件,也就是关闭浏览器后再来登录就登不进去了。 ,v
~%U�c6@�E�O�v
�K�l/}�h�\;f/|2@2a
)j3o#j!V�X4~
#b�b9m6v�S�j5f�`
这里有两种处理方式: �x�^�P*m�s
+r�v:~�a$D�W
�p/h;I-Y/d'r�^�e�y
1、使用Javascript方式
�@�A,g-P�M
�o�M(q
v
Y�y�Q
在每一个页面中加入一段javascript代码:[code]function window.onbeforeunload()
*I�C,o�e3C$Z4f�K&Y
{
9z�v�o)}�g�O
if (event.clientX>document.body.clientWidth && event.clientY<0||event.altKey){
&a*Q�?�L�R5S+c
window.open("logout.aspx");
�|�_5}�i0z�k8O
} 4L�i�`�f�~1]$a�v*C
}[/code] 由于onbeforeunload方法在浏览器关闭、刷新、页面调转等情况下都会被执行,所以需要判断是点击了关闭按钮或是按下Alt+F4时才执行真正的关闭操作。
�L�?
m�m
_�C�u�[�r�Y
6w�E*{6p�l
!w�{.}/V,b,[2u�M�N4I
然后在logout.aspx的Page_Load中写和Session_End相同的方法,同时在logout.aspx中加入事件:onload="javascript:window.close()" #r-a�z�N9u([�y
�s-r n
U H�B9@�D�g
�g)O2a
K:D2}�D
但是这样还是有问题,javascript在不同的浏览器中可能有不同的行为,还有就是当通过文件->关闭时没有判断到。
�T�a�F/k(Q�u
^+P
�r�p�J�I�N�B%?�A
2、使用xmlhttp方法(这种方法测试下来没有问题) �v�C4O�])r1n*~9s
^�g�G�P-n8h
在每个页面中加入如下的javascript(这些javascript也可以写在共通里,每个页面引入就可以了)[code]var x=0; �l�a,U�]�_!O�~�N-C�T�q9s
function myRefresh() �w.Y�q.t&e$T&H)R
{ �v
{*l�s�{�c
var httpRequest = new ActiveXObject("microsoft.xmlhttp"); 0H!K�k�P�q&I2W2l�L)E
httpRequest.open("GET", "test.aspx", false);
�{4o�f�H*y Y
httpRequest.send(null); #k,|�X�x:D�_�d�Y
J
x++; �V�_�q�G�Q*b�]/x
if(x<60) //60次,也就是Session真正的过期时间是30分钟
%P3p�G�h�x�P2X)b�m
{
�B�R&n�f�A�b
setTimeout("myRefresh()",30*1000); //30秒
�l#q�D�@9t�K:~
}
u�Q-H�j1p�j�]1g"Y-Q
} �y0O2C�Z�k
myRefresh();[/code]test.aspx页面就是一个空页面,只不过需要在Page_Load中加入:[code] Response.Expires = -1;[/code]保证不使用缓存,每次都能调用到这个页面。 "u�]�A(]�Y�J
I�\
(F�B�w�t�M9Q�m�a
原理就是:设置Session的过期时间是一分钟,然后在每个页面上定时每30秒连接一次测试页面,保持Session有效,总共连60次,也就是30分钟。如果30分钟后用户还没有操作,Session就会过期。当然,如果用户直接关闭浏览器,那么一分钟后Session也会过期。这样就可以满足要求了。