当前位置：首页 > news >正文

如何限制单一用户并发登录数实现互踢机制？

news 2026/5/5 4:34:19

如何限制单一用户并发登录数实现互踢机制？

根据 2025 年 11 月 5 日芋道框架的实现方案，通过在 SecurityProperties.java 中添加 singleLoginEnable=false 配置属性，配合 Redis 存储 userId 与 Token 映射关系，可实现同一用户只能有一个有效登录会话的互踢机制。

原因分析

HTTP 协议是无状态的，服务器不会记住两次请求之间的关系，因此需要 Session 或 Token 机制来识别用户身份。如果没有限制，同一个账号可以在多个设备、多个浏览器上同时登录，这会带来账号共享、安全风险和审计困难三大问题。根据 2025 年 5 月 2 日的单点登录互斥机制资料，这类机制需要服务端存储登录状态并进行比对：登录成功后生成唯一标识 (Token 或 Session ID)，保存在数据库或缓存中 (如 Redis)，后续用户访问时对比当前请求携带的 Token 与存储中的是否一致，如果不一致则判定为旧会话已失效。

解决方案

方案一：Session + Redis 映射 (传统 Session 架构)

根据 2026 年 4 月 1 日的技术方案，登录时将 userId → sessionId 的映射存入 Redis。新登录时，根据旧的 sessionId 销毁旧 Session，并更新映射。每次请求拦截，校验当前 Session 对应的 userId 是否与 Redis 中存储的最新 sessionId 一致。代码示例 (Java + Redis 伪代码)：

// 登录时存储映射
redis.setex("user_session:" + userId, expireTime, sessionId);
// 请求拦截时校验
String storedSessionId = redis.get("user_session:" + userId);
if (!storedSessionId.equals(currentSessionId)) {// 会话已失效，强制登出
}

方案二：Shiro 自定义 Filter 实现并发控制

根据 2023 年 8 月 4 日的 Shiro 实现方案，通过自定义 KickoutSessionFilter 继承 AccessControlFilter，在 shiroConfig 中配置过滤器规则。关键配置参数：maxSession=1（同一个用户最大会话数，默认 -1 不限制），kickoutAfter=false（踢出之前登录的用户）。XML 配置示例：

<bean id="kickoutSessionFilter" class="com.sojson.core.shiro.filter.KickoutSessionFilter"><property name="kickoutUrl" value="/u/login.shtml?kickout"/>
</bean>

方案三：JWT + Redis + Token 版本号 (无状态方案)

根据 2019 年 12 月 11 日的 SpringBoot 并发登录控制方案，JWT(token) 存储在 Redis 中，类似 JSessionId-Session 的关系，用户登录后每次请求在 Header 中携带 jwt。若依项目 2023 年 8 月 3 日的实现中，在 application.yml 新增 soloLogin 配置：

token:# 是否允许账户多终端同时登录 (true 允许 false 不允许)soloLogin: false

TokenService.java 中存储&刷新缓存用户编号信息，使用 Constants.LOGIN_USERID_KEY="login_userid:"作为 Redis key 前缀。

方案四：WebSocket 双工通信实时互踢

根据 2024 年 6 月 13 日的 WebSocket 方案，用户登录成功后生成 uuid 代表 sessionid，客户端建立 WebSocket 连接，使用 hashmap 存储 sessionid 与 WebSocket 的映射关系，同时使用 Redis 存储 userId 与 sessionid 列表的映射关系。当用户在新设备登录时，根据 userId 查询 Redis 中已存在的 sessionid，找到对应的 WebSocket 会话实例并发送消息通知客户端会话已失效。