大家知道,Session和Cookie配合起来使用可用来实现会话跟踪与控制。在一些场景下可能需要做单IP限制登录,很多开发者可能就会想到用Session会话来实现,但是不能单独靠Session来实现单IP限制登录。
第一步:单IP登录限制需要基于会话控制
这个很好理解,既然有登录,那就离不开会话控制技术(Cookie+Session),当用户成功登录后,大家需要获取到用户的IP,同时标记会话状态,这样此用户后续的请求都会归属于此会话中。
第二步:用户登录后要将用户IP存储起来
基于第一步,当用户登录成功后,就需要获取用户的真实IP,然后存储起来。常见的存储方式有:缓存文件、数据库、文件。考虑到性能,大家建议可以将用户的真实IP存储到Redis这类NoSQL中。
具体思路是:用户登录成功后 =》获取用户真实IP =》从数据库中找到当前登录用户的唯一ID值 =》将用户唯一UID做为Redis的Key存储,其Value则为此用户的IP。
第三步:每次登录与登出都要更新对应的Redis Key对应的值
上面2步做好后,然后需要对登录与登出逻辑做处理了,具体规则如下:
1、每次登录成功后
每次登录操作时,验证用户名及密码正确后需要查看此用户的UID对应的Redis Value值(如果Cookie+Session状态都存在也需要判断Redis中是否有值),如果Redis中有值,则代表此用户之前登录过,再进一步判断用户当前的IP是否和上次登录的IP一致,如果不一致则代表用户在多处登录了,再根据业务做进一步处理。
2、登出操作
当用户登出时,同样需要对Redis中的记录做同步删除操作。
