snowfox373 2007-11-26 09:51
Asp.net中防止用户多次登录的方法
在web开发时,有的系统要求同一个用户在同一时间只能登录一次,也就是如果一个用户已经登录了,在退出之前如果再次登录的话需要报错。
t
i�R�f;p�M
h%X.l
常见的处理方法是,在用户登录时,判断此用户是否已经在Application中存在,如果存在就报错,不存在的话就加到Application中(Application是所有Session共有的,整个web应用程序唯一的一个对象):[code]string strUserId = txtUser.Text;
%Y7W�V%\%{#M#a)U8U
D
ArrayList list = Application.Get("GLOBAL_USER_LIST") as ArrayList;
1a&?�u�s6H�Q�F1m5T1G
if (list == null) �H*]0u/w�F�X `�z
{
�C�v(g!_�z
list = new ArrayList(); �t*z-Y1G7C�V�W9q
}
3A6w�k h"y�g"U
for (int i = 0; i < list.Count; i++)
7K�d�`&B�]�D�E�F
{ .k�?
C8i4g2W�|
if (strUserId == (list[i] as string)) �\&T!@7l�k
{
+K8b:I4^�^"w�w�^+V�c�H3n
//已经登录了,提示错误信息
�u+R�a1H�e6Z0K
W�a
lblError.Text = "此用户已经登录"; �T)W;N
G�\
return;
.i*U1l,k
q"e8G�I�q/_
} &Y�|�?�v�~�H�R�F
}
0a�K�Y�y&\
v�F8_�o�X
list.Add(strUserId);
:[
T�S�j*Z'a�R6X6l
Application.Add("GLOBAL_USER_LIST", list);[/code] 当然这里使用Cache等保存也可以。 ;_.X�m�d.m D�J
�@�H�U�|8b�z5y"K(A
�D%W�u�[�r3n,b6^�y
�S�` X1V�T0V C�|
接下来就是要在用户退出的时候将此用户从Application中去除,我们可以在Global.asax的Session_End事件中处理:[code]void Session_End(object sender, EventArgs e) )M l4z;y8[ @ W,C4v
{ /G�P X�S-V#k'g(\
// 在会话结束时运行的代码。
�r0U&U�F8q
// 注意: 只有在 Web.config 文件中的 sessionstate 模式设置为
�x
R+G
Y�]�q
// InProc 时,才会引发 Session_End 事件。如果会话模式设置为 StateServer �h�H�`.k�Z7q
// 或 SQLServer,则不会引发该事件。
a
N)s)U p�[�Y
string strUserId = Session["SESSION_USER"] as string;
�a�J7["J�Y�p�G0S
ArrayList list = Application.Get("GLOBAL_USER_LIST") as ArrayList; �i+J"Z�f
Z�\�E�@
if (strUserId != null && list != null)
�}�B�{'?�T�u
�H A�[%d+I�G
a�w R1v�G�I1Q
{
�z�O�x$h�_!`�a)`�G7]
list.Remove(strUserId);
[�_'Z-x�q
Application.Add("GLOBAL_USER_LIST", list); $D2d f�H�m
}
�Q/M�F&o�C�^�i+Z1_
}[/code] 这些都没有问题,有问题的就是当用户直接点浏览器右上角的关闭按钮时就有问题了。因为直接关闭的话,并不会立即触发Session过期事件,也就是关闭浏览器后再来登录就登不进去了。 �j
c2r0l�`�I
2o�{4y�y�V�\'l.f
�\�e2f.~;z�u�g�^
�?�E#x0I�a5[
这里有两种处理方式: 9O%@(~9T"r�?�J�g�A�M
�J�f9{,d�J
)F,S#^%X H/f�i
1、使用Javascript方式 6K8P.M(X�|;x&e9~
,f4L+L:}7A�L2D
在每一个页面中加入一段javascript代码:[code]function window.onbeforeunload() �C�d�Y+m/s&L�C�P;r
{
�a�h7K�N�r*q
if (event.clientX>document.body.clientWidth && event.clientY<0||event.altKey){
�b7Y
`�I
x�l
window.open("logout.aspx"); �?;a"c�s.~-t�E�h
} 7]�O3|�U%A3k)@)J�C
}[/code] 由于onbeforeunload方法在浏览器关闭、刷新、页面调转等情况下都会被执行,所以需要判断是点击了关闭按钮或是按下Alt+F4时才执行真正的关闭操作。
�B!h�f*V$x9o4F�t&~
4l�F3w�z9r m
�` y�O�K3\�?�S;N�{
然后在logout.aspx的Page_Load中写和Session_End相同的方法,同时在logout.aspx中加入事件:onload="javascript:window.close()"
�U�}�e
F�i�q5X
�~;}.q�f�r�{�E�e
�S�G�?�{�W2v3I
但是这样还是有问题,javascript在不同的浏览器中可能有不同的行为,还有就是当通过文件->关闭时没有判断到。
$B!k*W'h8v�e$[
,x�I p�\�h�x
2、使用xmlhttp方法(这种方法测试下来没有问题) �a�L�D�J�K1o!T4\
0s�O�m�L
D�O�f�r
在每个页面中加入如下的javascript(这些javascript也可以写在共通里,每个页面引入就可以了)[code]var x=0;
�~$`�_2v%M�W(I(i
function myRefresh() �m�m�F�I�f�J0]�A�W
{
.F2|4N�]7`�P�O |�?
var httpRequest = new ActiveXObject("microsoft.xmlhttp");
f�N;V8G�w)I
b,_�w
httpRequest.open("GET", "test.aspx", false);
.i-^�K Q4L8|�}+U�g
httpRequest.send(null); �W4{�p;X(T;C$l�C
x++; 9d�^�L-~&K�f
if(x<60) //60次,也就是Session真正的过期时间是30分钟
4f
^4l�n�u7q�?
{
8v�K�u�w"`�z�g�{�u2t
setTimeout("myRefresh()",30*1000); //30秒
�k't�B,O�\
} �k�q�P�C�f
} :W�F3Y�[�|!\�`�\
myRefresh();[/code]test.aspx页面就是一个空页面,只不过需要在Page_Load中加入:[code] Response.Expires = -1;[/code]保证不使用缓存,每次都能调用到这个页面。
�a5f�@�?�g�Y3v�o.?
�J V0I�|
i7w Q9H�?
原理就是:设置Session的过期时间是一分钟,然后在每个页面上定时每30秒连接一次测试页面,保持Session有效,总共连60次,也就是30分钟。如果30分钟后用户还没有操作,Session就会过期。当然,如果用户直接关闭浏览器,那么一分钟后Session也会过期。这样就可以满足要求了。