java實現(xiàn)多設備同時登錄或強制下線

更新時間：2023年07月23日 09:12:49 作者：臨時工

本文主要介紹了java實現(xiàn)多設備同時登錄或強制下線，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧

首先我們需要有一個后臺設置開關(guān)來控制允不允許用戶多設備同時登錄的功能（沒有也無妨，假定允許），其次在登錄后，需要保存用戶的userId-token的關(guān)系緩存。再回頭看上面的時序圖，是不是已經(jīng)能理解實現(xiàn)的原理了。

如果你的架構(gòu)是微服務，那么可以使用redis來存登錄關(guān)系緩存，單體架構(gòu)可以直接存session即可。本文是微服務架構(gòu)，所以采用的是redis。

本文的前提都是基于同一個用戶的情況下，下文不再贅述。

1 構(gòu)造登錄緩存關(guān)系

如果要實現(xiàn)同一用戶多設備同時登錄，那必然需要在session（微服務中可以用redis做session共享）中能找到用戶的每一個登錄狀態(tài)，如果只是簡單的緩存用戶信息是實現(xiàn)不了的，登錄時那就必須要有一個唯一值token，這樣每次登錄token不一樣，但是指向的用戶是同一個。

usertoken中維護的是前綴:用戶id,這里不需要維護多個，因為用的reids的hash數(shù)據(jù)類型，多個登錄時，添加新行即可；user部分，這里維護的是多個，即登錄一次就有一條記錄；因為根據(jù)業(yè)務需要，后續(xù)需要從緩存中獲取用戶其他信息。

允許多設備同時登錄：usertoken只有1條，user可能會有多條
不允許多設備同時登錄(有則強制下線)：usertoken只有1條，user只有1條

    /**
     * 登錄成功后緩存用戶信息
     *
     * @param req
     * @return
     */
    public void cacheUserInfo(CacheUserInfoReqDTO req) {
        // 1、緩存用戶信息
        cacheUser(req);
        cacheAuth(req.getUid(), req.getRoles(), req.getPermissions());
        // 2、更新token與userId關(guān)系
        String userTokenRelationKey = RedisKeyHelper.getUserTokenRelationKey(req.getEntId() + SymbolConstant.COLON + req.getUid());
        redisAdapter.set(userTokenRelationKey, req.getToken(), RedisTtl.USER_LOGIN_SUCCESS);
    }

2 過濾器配置

登錄鑒權(quán)部分和用戶登錄狀態(tài)上下文不在本文范圍內(nèi)，此處忽略

登錄成功后，每一個請求到達過濾器時，通過請求header中的token來獲取登錄信息;因為我們存的緩存key前綴都包含userId,所以要想得到用戶信息，需要使用到redis的scan命令來獲取。（scan最好配置count來限制，保證性能）

@Override
protected Mono<Void> innerFilter(ServerWebExchange exchange, WebFilterChain chain) {
        String token = filterContext.getToken();
        if (StringUtils.isBlank(token)) {
            throw new DataValidateException(GatewayReturnCodes.TOKEN_MISSING);
        }
        // scan獲取user的key
        String userKey = "";
        Set<String> scan = redisAdapter.scan(GatewayRedisKeyPrefix.USER_KEY.getKey() + "*" + token);
        if (scan.isEmpty()) {
            throw new DataValidateException(GatewayReturnCodes.TOKEN_EXPIRED_LOGIN_SUCCESS);
        }
        userKey = scan.iterator().next();
        MyUser myUser = (MyUser) redisAdapter.get(userKey);
        if (myUser == null) {
            throw new BusinessException(GatewayReturnCodes.TOKEN_EXPIRED_LOGIN_SUCCESS);
        }
        // 將用戶信息塞入http header
        // do something...
        return chain.filter(exchange.mutate().request(newServerHttpRequest).build());
    }

這樣保證即使有多設備同時登錄，也能獲取到登錄信息和上下文。

3 如何做強制下線呢？

其實也很簡單，在登錄前可以通過AOP方式做校驗，如果已登錄了，那么這里就清除session或用戶緩存，再繼續(xù)進行正常登錄即可。再簡單一點可以直接在登錄service中添加校驗

核心邏輯

 String userTokenRelationKey = RedisKeyHelper.getUserTokenRelationKey(req.getEntId() + SymbolConstant.COLON + userEntList.get(0).getUserId());
            String redisToken = (String) redisAdapter.get(userTokenRelationKey);
if (StringUtils.isNotEmpty(redisToken) && !redisToken.equals(token)) {
        throw new BusinessException(UserReturnCodes.MULTI_DEVICE_LOGIN);
            }

這里用于判斷是否已有登錄，并返回給前端提示。用于前端其他業(yè)務處理如果不需要給前端提示，不用返回前端，直接進行清除session或用戶緩存邏輯。

 String userTokenRelationKey = RedisKeyHelper.getUserTokenRelationKey(req.getEntId() + SymbolConstant.COLON + userEntity.getId());
    // 獲取當前已用戶的登錄token
    String redisToken = (String) redisAdapter.get(userTokenRelationKey);
    // 踢下線之前全部登錄
    Response<Void> exitLoginResponse = gatewayRpc.allExit(ExitLoginReqDTO.builder().token(redisToken).userId(userEntity.getId()).build());