通过session_id限制仅一个用户登录

最新推荐文章于 2023-05-17 21:00:09 发布
转载 最新推荐文章于 2023-05-17 21:00:09 发布 · 300 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/haohaoyuan/p/7797941.html
文章标签:

#php #数据库 #开发工具

本文介绍了一种单点登录机制的实现方法,通过在用户登录时记录session_id,并在每次验证用户信息时检查session_id的一致性,确保账户在唯一地点登录。详细展示了使用PHP实现的代码示例。

需求:

我们有的时候,希望一个账户,仅在一个地方登录。即,在别的地方登录该账户时,当前用户会被自动注销。

思路:

用户数据表admin

idnamepasswordsession_id
1root63a9f0ea7bb98050796b649e854818453olcdjkj5jjaq2u9t30mbuna96

我们实现该功能只需要在普通用户验证的基础上,加一层session_id的验证就可以了。我们在用户登录的时候,将此时的session_id写入数据表,session_id在本次session有效期是不会变化的。如果在别的地方,登录了该账户,则新的session_id值会写入数据表,则在验证用户信息的时候,当前用户的session_id和数据表里面的session_id不一致。

核心代码:

indexController.class.php

<?php

/**
 * Created by PhpStorm.
 * User: koastal
 * Date: 2016/5/15
 * Time: 19:28
 */
class indexController extends Controller { function __construct() { parent::__construct(); } /** * 显示用户信息页面 */ function index() { $loginController = new loginController(); $loginController->isLogin(); $this->smarty->assign("name",$_SESSION['name']); $this->smarty->assign("id",$_SESSION['id']); $this->smarty->display("info.html"); } }

loginController.class.php

<?php

/**
 * Created by PhpStorm.
 * User: koastal
 * Date: 2016/5/28
 * Time: 20:37
 */
class loginController extends Controller { private $loginModel; function __construct() { parent::__construct(); $this->loginModel = new loginModel(); } /** * @return bool * 判断当前登录用户是否合法 */ function isLogin(){ $res = $this->loginModel->getUserInfoById($_SESSION['id']); if(empty($res)){ echo "未登录";exit; }else{ $sql_token = md5($res['name'].$res['password']); if($sql_token != $_SESSION['token']){ echo "用户验证失败";exit; }else{ if(session_id()!=$res['session_id']){ echo "该账户已在别处登录";exit; }else{ return true; } } } } /** * 显示登录表单 */ function form(){ $this->smarty->display("login.html"); } /** * 执行登录操作 */ function action(){ $name = $_POST['name']; $password = md5($_POST['password']); $session_id = session_id(); $res = $this->loginModel->loginCheck($name,$password,$session_id); if($res){ $_SESSION['id'] = $res['id']; $_SESSION['name'] = $name; $_SESSION['token'] = md5($name.$password); header("Location:http://login.com/index.php/index/index"); }else{ header("Location:http://login.com/index.php/login/form"); } } }

loginModel.class.php

<?php

/**
 * Created by PhpStorm.
 * User: koastal
 * Date: 2016/5/28
 * Time: 19:56
 */
class loginModel extends Model { /** * @param $id * @return bool */ function getUserInfoById($id){ $sparam = array('id','name','password','session_id'); $wparam = array("id[=]"=>$id); $data = $this->select("admin",$sparam,$wparam); if(empty($data)){ return false; }else{ return $data[0]; } } /** * @param $name * @param $password * @param $session_id * @return array/bool */ function loginCheck($name,$password,$session_id){ $sparam = array('id','name','password',"session_id"); $wparam = array("name[=]"=>$name); $data = $this->select("admin",$sparam,$wparam); if(empty($data)){ return false; }else{ $info = $data[0]; if($info['password']!=$password){ //验证失败 return false; }else{ //验证成功,更新session $newdata = ["session_id"=>$session_id]; $wparam = ["id[=]"=>$info['id']]; $this->update("admin",$newdata,$wparam); return $info; } } } }

项目代码下载:

链接:http://pan.baidu.com/s/1kVAPJjp 密码:04iv

部署说明:

  1. host添加 127.0.0.1 login.com
  2. 在本地新建数据库test,新建表admin

转载于:https://www.cnblogs.com/haohaoyuan/p/7797941.html

dichen3237
关注
webid、sec_poison_id、a1、web_session参数分析与算法实现
吴秋霖的博客
06-22 3195
最新且最全的webid、sec_poison_id、a1、web_session参数分析与算法实现
mantis常见问题
qq_43246987的博客
04-02 420
1.在xampp\htdocs\mantis中的config_inc.php文件最后一行添加$g_default_language=‘chinese_simplified’;即可汉化 2.root的加密字符 63a9f0ea7bb98050796b649e85481845 3.mantis新建项目后无法切换 点击右上角wifi形状黄色图标刷新,或者清除浏览器缓存 ...
mantis 的配置 +md5
etetet029的专栏
07-17 1149
 环境:centOS虚拟机 +官方mantis1.1.6  用SSH登陆进此OS,方便操作; mantis 用administrator登录不上的情况下,解决方法为: 1,登录到mysql数据库中,    切换到当前数据库,2,   show tables      查看有没有如下数据表mantis_user_table 3,select * from mantis
渗透测试--5.2.hash密码的破解
我是个好人呀,O(∩_∩)O
05-17 5397
hashcat号称世界上最快的密码破解,世界上第一个和唯一的基于GPGPU规则引擎,免费多GPU(高达128个GPU),多哈希,多操作系统(Linux和Windows本地二进制文件),多平台(OpenCL和CUDA支持),多算法,资源利用率低,基于字典攻击,支持分布式破解等等,目前最新版本为4.01,下载地址,hashcat目前支持各类公开算法高达247类,市面上面公开的密码加密算法基本都支持!
java mock 工具_「测试」 - 接口测试 & mock工具Moco
weixin_39912250的博客
02-24 530
在日常接口测试的工作中,经常需要依赖其他系统的API,但是联调不常有,只能自己通过mock完成数据依赖。对于Java栈的mock工具,ThoughtWorks的前工程师郑烨编写了Moco工具,并开源在GitHub,Moco repo:https://github.com/dreamhead/moco。Moco的优点:支持http、https、socket支持设置headers、cookies、st...
PHP Session_Regenerate_ID函数双释放内存破坏漏洞
10-28
攻击者随后可以通过调用`session_id()`函数,并设置一个包含伪造数据的哈希表,再次触发旧会话ID的释放操作。当用户空间错误处理器执行完毕,解构覆盖的哈希表时,就可能触发攻击者提供的代码,从而实现任意代码执行...
phpsession_id()函数详细介绍,会话id生成过程及session id长度
10-23
如果用户的浏览器支持cookie,Session ID会被保存在一个名为PHPSESSID的cookie中,当用户发送请求时,服务器会通过比较服务器内存中存储的Session ID和从cookie中获取的Session ID来识别用户,并执行相应的会话操作...
postgresql配置session_exec 达到锁定登录失败用户目的
weixin_43557605的博客
07-07 5614
postgresql配置session_exec 达到锁定登录失败用户的效果
php session_start()出错原因分析及解决方法
10-26
对于这类问题,除了检查服务器的PHPsession配置外,还可以在session_start()调用后检查session_id(),确保会话ID是有效的,并通过register_shutdown_function()注册一个会话关闭函数,以便在脚本结束时正确关闭...
Password-Cracking
04-10
如何破解哈希? 密码以哈希格式存储在数据库中,这个值在我们破解之前是没有意义的。 (哈希示例: root = 63a9f0ea7bb98050796b649e85481845 )。 哈希值是赋予从数据库捕获的加密密码值的名称。 在不破坏该值的情况下,我们看不到密码的原始版本。 因此,我们需要遵循以下步骤。 寻找加密算法 首先,我们需要找出哈希使用哪种算法进行加密。 因此,我们可以编写或使用工具来逆转该过程。 我在终端中通过键入““ hash-identifier”“运行程序。
koa 接口返回数据_koa-session 获取当前会话的 sessionid
weixin_29724477的博客
01-03 929
原文:koa-session 获取当前会话的 sessionid 使用 koa-session 时,获取 sessionid。tl;dr先说结论,如果在使用 koa-session 时需要获取当前新建 sessionsessionid 时,可以通过手动调用 koa-session 的 save 方法立即保存当前的 session 更改,即 await ctx.session.manually...
koa教程--koa2实现session
weixin_34409741的博客
06-27 356
koa2实现session前言koa2原生功能只提供了cookie的操作,但是没有提供session操作。session就只用自己实现或者通过第三方中间件实现。在koa2中实现session的方案有一下几种如果session数据量很小,可以直接存在内存中如果session数据量很大,则需要存储介质存放session数据数据库存储方案将session存放在MySQL数据库中需要用到中间件koa-se...
后渗透神器Empire的简单使用
weixin_30279751的博客
03-16 1929
1、安装 1.1、系统环境: Debian系Linux:例如Ubuntu和Kali(本文使用Kali作为环境) 1.2、安装命令: 安装最后需要输入用户名、密码 wget https://raw.githubusercontent.com/backlion/demo/master/Empire-master.zip unzip Empire-master.zip cd Empire-m...
SQL Injection (Blind) Low
weixin_33785108的博客
12-03 207
SQL盲注分析 盲注较普通注入难度会有所增加,根据页面响应不同大概分为以下几种:布尔型盲注;时间盲注;报错注入 普通注入与盲注的对比: 普通注入: 盲注: 1.当执行注入攻击时服务器会响应来自数据库 ...
vlunhub- BoredHackerBlog Moriarty Corp
GALi_233的博客
08-08 1061
Description Hello Agent. You’re here on a special mission. A mission to take down one of the biggest weapons suppliers which is Moriarty Corp. Enter flag{start} into the webapp to get started! Notes: Web panel is on port 8000 (not in scope. Don’t attack)
常见 Webshell 的检测方法及检测绕过思路
niuyisheng的专栏
09-22 7000
Webshell的因素 我们从一个最简单的webshell结构可以看出其基本结构:“” 从目前被公布的一句话webshell来看,基本都符合这个结构,即shell的实现需要两步:数据的传递、执行所传递的数据。 数据传递&绕过检测 对于数据传递,我们通常的做法是使用$_GET、$_POST、$_SERVER、$_COOKIE等获取客户端数据。但这类关键词如果直接出现的
限制一个sessionID的websocket连接个数
最新发布
01-05
<think>我们讨论的是如何限制一个sessionID对应的WebSocket连接个数。 根据之前的讨论,我们知道: - WebSocket连接建立时会携带Cookie(含SessionID),从而关联到用户的会话(session)[^1]。 - 在应用层,我们通常需要自己维护WebSocketSession,例如使用一个Map来存储用户ID(或sessionID)与WebSocketSession的映射关系[^2][^3]。 现在需求是:限制一个sessionID(即同一个用户会话)同时建立的WebSocket连接数量。 思路: 1. 我们需要在服务端维护一个数据结构,记录每个sessionID当前活跃的WebSocket连接数(或连接实例)。 2. 在建立新的WebSocket连接时(在`afterConnectionEstablished`等方法中),检查该sessionID当前的连接数是否已达到上限。 3. 如果达到上限,则拒绝新的连接(例如,关闭新建立的连接)。 4. 在连接关闭时(在`afterConnectionClosed`方法中),减少该sessionID的连接计数。 具体步骤(以Spring WebSocket为例): 步骤1:定义一个全局的连接计数器 使用一个线程安全的Map来存储每个sessionID的连接计数(或者存储每个sessionID对应的连接集合,然后通过集合大小判断)。例如: ```java private final ConcurrentMap<String, AtomicInteger> sessionConnectionCounts = new ConcurrentHashMap<>(); // 或者存储连接集合(如果需要操作具体的连接实例) // private final ConcurrentMap<String, Set<WebSocketSession>> sessionConnections = new ConcurrentHashMap<>(); ``` 步骤2:在连接建立时增加计数并检查 ```java @Override public void afterConnectionEstablished(WebSocketSession session) { // 从session中获取sessionID(这里注意:WebSocketSessionid是唯一的连接标识,不是HTTP SessionID) // 我们需要的是HTTP SessionID,它通常通过握手时的属性传递过来(在握手拦截器中设置) // 假设我们在握手拦截器中已经将HTTP SessionID设置到了WebSocketSession的attributes中,键为"sessionId" String sessionId = (String) session.getAttributes().get("sessionId"); // 如果sessionId为null,可能是未登录,这里可以根据需要处理(例如关闭连接) if (sessionId == null) { session.close(CloseStatus.NOT_ACCEPTABLE); return; } // 获取当前sessionId的连接计数(原子操作) AtomicInteger count = sessionConnectionCounts.computeIfAbsent(sessionId, k -> new AtomicInteger(0)); int currentCount = count.incrementAndGet(); // 设置每个sessionID的最大连接数(例如3) int maxConnections = 3; if (currentCount > maxConnections) { // 超过上限,递减计数(因为刚刚已经增加了)并关闭连接 count.decrementAndGet(); session.close(CloseStatus.POLICY_VIOLATION); return; } // 连接被接受,继续其他操作(如加入会话管理) } ``` 步骤3:在连接关闭时减少计数 ```java @Override public void afterConnectionClosed(WebSocketSession session, CloseStatus status) { String sessionId = (String) session.getAttributes().get("sessionId"); if (sessionId != null) { AtomicInteger count = sessionConnectionCounts.get(sessionId); if (count != null) { // 减少计数,如果计数为0,则从map中移除(避免内存泄漏) int currentCount = count.decrementAndGet(); if (currentCount <= 0) { sessionConnectionCounts.remove(sessionId, count); // 使用remove(key, value)确保安全 } } } } ``` 注意事项: - **线程安全**:使用`ConcurrentHashMap`和`AtomicInteger`保证线程安全。 - **内存泄漏**:需要确保在连接关闭时减少计数,并在计数为0时移除条目。 - **握手拦截器中设置sessionId**:在握手阶段,我们需要将HTTP SessionID(或用户标识)设置到WebSocketSession的属性中。可以通过实现`HandshakeInterceptor`,在`beforeHandshake`方法中设置: ```java @Override public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Map<String, Object> attributes) { // 从HTTP请求中获取session(例如通过HttpSession) if (request instanceof ServletServerHttpRequest) { ServletServerHttpRequest servletRequest = (ServletServerHttpRequest) request; HttpSession httpSession = servletRequest.getServletRequest().getSession(false); if (httpSession != null) { // 将HTTP SessionID存入WebSocketSession的属性中 attributes.put("sessionId", httpSession.getId()); } } return true; } ``` - **分布式环境**:上述方案适用于单机。在集群环境下,需要将计数存储在分布式缓存(如Redis)中,并使用原子操作(如Redis的INCR/DECR)来保证一致性。 分布式环境下的调整: 使用Redis存储每个sessionId的连接计数,并利用Redis的原子操作来增减计数。例如: - 连接建立时:使用`INCR`命令增加计数,然后判断是否超过最大值,如果超过则使用`DECR`并关闭连接。 - 连接关闭时:使用`DECR`减少计数。 但要注意,在分布式环境下,增减计数和判断是否超过最大值需要保证原子性(可以使用Lua脚本,或者使用Redis的`INCR`和`GET`操作,但要注意在非原子操作时可能出现的并发问题)。一种简单的方式是使用Lua脚本: ```lua local key = KEYS[1] -- sessionId local max = tonumber(ARGV[1]) -- 最大连接数 local current = redis.call('GET', key) or 0 if tonumber(current) >= max then return -1 -- 超过上限 else return redis.call('INCR', key) -- 返回增加后的值 end ``` 在Java中,使用Spring Data Redis执行该脚本,如果返回-1则关闭连接。 总结:限制一个sessionID的WebSocket连接个数需要开发者在应用层实现计数和限制逻辑,包括连接建立时的检查、连接关闭时的清理,并注意线程安全和分布式环境下的扩展。 相关问题: 1. 在分布式系统中如何确保WebSocket连接计数的原子性? 2. 如何优雅地关闭超过连接数限制的WebSocket连接? 3. 除了连接计数,还有哪些方法可以限制一个用户的WebSocket连接数? </think> ### 如何限制一个SessionID的WebSocket连接个数? 在WebSocket应用中,限制同一SessionID的连接数量是防止资源滥用和提升系统稳定性的关键策略。以下是具体实现方案: #### **1. 核心实现原理** 需要**在服务端维护连接计数器**,基于SessionID进行连接数统计和限制: ```java // 全局连接计数器:SessionID -> 当前连接数 private final ConcurrentMap<String, AtomicInteger> sessionConnections = new ConcurrentHashMap<>(); private static final int MAX_CONNECTIONS_PER_SESSION = 3; // 单Session最大连接数 ``` #### **2. 连接建立时的计数校验** 在`afterConnectionEstablished`回调中执行检查: ```java @Override public void afterConnectionEstablished(WebSocketSession session) { String sessionId = getSessionId(session); // 从Cookie或Header获取SessionID AtomicInteger count = sessionConnections.computeIfAbsent( sessionId, k -> new AtomicInteger(0) ); // 连接数超限处理 if (count.incrementAndGet() > MAX_CONNECTIONS_PER_SESSION) { count.decrementAndGet(); // 回滚计数 session.close(CloseStatus.POLICY_VIOLATION); // 强制关闭连接 return; } // 正常处理连接... } ``` #### **3. 连接关闭时的计数清理** 在`afterConnectionClosed`回调中更新计数器: ```java @Override public void afterConnectionClosed(WebSocketSession session, CloseStatus status) { String sessionId = getSessionId(session); AtomicInteger count = sessionConnections.get(sessionId); if (count != null && count.decrementAndGet() <= 0) { sessionConnections.remove(sessionId); // 清理空计数器 } } ``` #### **4. SessionID获取方法** 通过握手拦截器从HTTP请求中提取SessionID: ```java public class AuthInterceptor implements HandshakeInterceptor { @Override public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Map<String, Object> attributes) { // 从Cookie或Header解析SessionID String sessionId = extractSessionId(request); attributes.put("sessionId", sessionId); // 存入WebSocketSession属性 return true; } } ``` #### **5. 分布式环境扩展** 在集群中需使用分布式计数器(如Redis): ```java // 使用Redis原子操作 public boolean checkConnectionLimit(String sessionId) { String key = "ws:limit:" + sessionId; Long count = redisTemplate.opsForValue().increment(key, 1); if (count > MAX_CONNECTIONS_PER_SESSION) { redisTemplate.decrement(key, 1); // 回滚 return false; } redisTemplate.expire(key, 1, TimeUnit.HOURS); // 设置过期时间 return true; } ``` #### **6. 关键注意事项** - **线程安全**:单机使用`ConcurrentHashMap` + `AtomicInteger` - **僵尸连接处理**:配置`setIdleTimeout()`自动清理死链 - **失效Session清理**:定时任务清除无活跃连接的计数器 - **连接拒绝策略**:返回`1008(政策违规)`状态码 > **示例场景**:当用户SessionID=xyz)尝试建立第4个连接时,服务端主动关闭新连接并返回: > ``` > CloseStatus: 1008 (Policy Violation) > Reason: "Exceeded max connections per session (3)" > ``` --- ### 相关问题 1. 如何防止WebSocket连接数的分布式计数器出现脏读? 2. 不同设备登录同一账户时,SessionID相同会导致连接数限制吗? 3. WebSocket连接限制与HTTP请求限流机制有何本质区别? 4. 高并发场景下如何优化连接计数器的性能? : WebSocket协议通过空闲超时自动清理僵尸连接 [^2]: 拒绝连接时返回RFC-6455定义的策略违规状态码
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值