.NET 單點登錄解決方案

更新時間：2013年10月11日 15:28:43 作者：

這里指的單點，泛指在WEB服務(wù)端，一個賬戶同一時刻只能存在一個票據(jù)！怎么使同一個用戶，在同一時間內(nèi)只允許登錄一次，下面將為大家詳細(xì)介紹下

這里指的單點，泛指在WEB服務(wù)端，一個賬戶同一時刻只能存在一個票據(jù)！

大家開發(fā)中可能都碰到的一個問題，怎么使同一個用戶，在同一時間內(nèi)只允許登錄一次。

很多人都會想到在數(shù)據(jù)庫中用一個標(biāo)識字段，登錄進去置1,退出置0,登錄時判斷這個字段，如果是1就說明此用戶在線，不允許登錄，這個方案看似有效，但在實際使用中發(fā)現(xiàn)問題很多，比如，用戶不是通過程序中的退出按紐退出，而是直接關(guān)閉IE，這樣的話，下次登錄時數(shù)據(jù)庫里此用戶還在線呢，這個用戶就無法登錄，當(dāng)然也有一些辦法可以解決這個問題：增加一個定時作業(yè)，定期復(fù)位那些長時間在線的用戶，這樣又會造成一些問題，如果這個用戶實際上就是使用了這么長時間，那就是誤殺。

通過多次實驗，發(fā)現(xiàn).net本身可以提供這種解決方案。步驟如下：

第一：建立global.asax文件， Session_End 事件中寫入如下代碼：

復(fù)制代碼代碼如下:

 
Hashtable h = (Hashtable)Application["online"]; 
if (h[Session.SessionID] != null) 
h.Remove(Session.SessionID); 
Application["online"] = h; 

第二：修改web.config文件，在system.web 結(jié)點里面增加

復(fù)制代碼代碼如下:

這個是為了使用global.asax中的session_end事件生效。

第三：頁面的登錄事件中，判斷登錄用戶是否在服務(wù)端全局變量中存在，存在就不允許登錄，不存在就創(chuàng)建。以下是實現(xiàn)過程，登錄按紐的事件中調(diào)用。

復(fù)制代碼代碼如下:

 
private void isLogin() 
{ 
Hashtable h = (Hashtable)Application["online"]; 

if (h == null) 
{ 
h = new Hashtable(); 
} 

//驗證用戶是否在Application中存在(是否在線) 
IDictionaryEnumerator e1 = h.GetEnumerator(); 
bool flag = false; 
while (e1.MoveNext()) 
{ 
if (checkCookie(e1.Value.ToString())) 
{ 
flag = true; 
break; 
} 
} 
if (flag) 
{ 
Response.Write("<script defer language='javascript'>alert('This user is online!');history.go(-1);</script>"); 
} 
else 
{ 
loginLogic login = new loginLogic(this.txt_user_id.Text.Trim(), this.txt_password.Text.Trim()); 

if (!login.getLoginStatus) 
{ 
Response.Write("<script defer language='javascript'>alert('Invalid UserID or password.Please try again.');</script>"); 
} 
else 
{ 
//生成服務(wù)端標(biāo)識值 
DateTime now = DateTime.Now; 
string cookieValue = now.Year.ToString() + now.Month.ToString() + now.Day.ToString() + now.Hour.ToString() + now.Minute.ToString() + now.Second.ToString() + now.Millisecond.ToString(); 
//把userid + 標(biāo)識值寫入全局變量表 
h[Session.SessionID] = this.txt_user_id.Text.Trim() + "-" + cookieValue; 
Application["Online"] = h; 
//把標(biāo)識值寫入客戶端cookie 
Response.Cookies["hqs"].Value =cookieValue; 
Response.Cookies["hqs"].Expires = DateTime.Now.AddDays(1); 

//用戶信息記入session 
Session["userid"] = this.txt_user_id.Text.Trim(); 
Response.Redirect("Manage/index.aspx"); 
} 
} 
} 

private bool checkCookie(string appValue) 
{ 
bool isExist = false; 

if (Request.Cookies["hqs"] != null) 
{ 
string cookieValue = Request.Cookies["hqs"].Value; 

char[] sp = new char[1]{'-'}; 
string appUserid = appValue.Split(sp)[0].ToString(); 
string appCookie = appValue.Split(sp)[1].ToString(); 

if (appUserid == this.txt_user_id.Text.Trim() && appCookie != cookieValue) 
isExist = true; 
} 
return isExist; 
} 

注意：在VS2005的內(nèi)置WEB服務(wù)器中測試可能有問題，還在放在IIS的正式環(huán)境中去測試.

關(guān)于此方案的說明：一般情況下session 的timeout時間為20分鐘，也就是說，如果這個用戶直接關(guān)掉瀏覽器，然后馬上再登錄，這個時間session還沒有到期，所有不會觸發(fā)global.asax中的session_end事件，所以會提示這個用戶還在線，20分鐘后這個事件執(zhí)行過后，會刪掉這個不活動的用戶，這時候再登錄就正常了。所以不要認(rèn)為直接關(guān)掉IE后，再登錄進不去了，就認(rèn)為這個方案無效。

當(dāng)然，session 的timeout 時間可以修改的，20分鐘不合適可以改。改法如下：

<sessionState mode="InProc" timeout="你認(rèn)為合適的值"></sessionState>

------------------------

續(xù)上篇，現(xiàn)在有新的問題了，如果用戶非正常退出那么，session在20分鐘內(nèi)不會執(zhí)行END事件，也就是說用戶還是在線狀態(tài)，那么此用戶再次登錄將不被允許。這顯然有點不合理。這個方案就顯得不夠完美了，希望大家補充。

補充：第三步的代碼已更新，可以解決這個問題

二、由于某些原因，在我們的應(yīng)用中會遇到一個用戶只能在一個地方登錄的情況，也就是我們通常所說的單點登錄。在ASP.NET中實現(xiàn)單點登錄其實很簡單，下面就把主要的方法和全部代碼進行分析。

實現(xiàn)思路

利用Cache的功能，我們把用戶的登錄信息保存在Cache中，并設(shè)置過期時間為Session失效的時間，因此，一旦Session失效，我們的Cache也過期；而Cache對所有的用戶都可以訪問，因此，用它保存用戶信息比數(shù)據(jù)庫來得方便。

程序代碼

復(fù)制代碼代碼如下:

 
string sKey = username.Text.ToString().Trim(); // 得到Cache中的給定Key的值 
string sUser = Convert.ToString(Cache[sKey]); // 檢查是否存在 
if (sUser == null || sUser == String.Empty) 
{ 

TimeSpan SessTimeOut = new TimeSpan(0, 0, System.Web.HttpContext.Current.Session.Timeout, 0, 0);//取得Session的過期時間 
HttpContext.Current.Cache.Insert(sKey, sKey, null, DateTime.MaxValue, SessTimeOut, System.Web.Caching.CacheItemPriority.NotRemovable, null);//將值放入cache己方便單點登錄 
//成功登錄 
} 
else if (Cache[sKey].ToString() == sKey)//如果這個賬號已經(jīng)登錄 
{ 
ClientScript.RegisterStartupScript(GetType(), "提示", "<script>alert('對不起,當(dāng)前用戶已經(jīng)登錄');</script>"); 
return; 
} 
else 
{ 
Session.Abandon();//這段主要是為了避免不必要的錯誤導(dǎo)致不能登錄 
} 