asp.net 單使用者登入經典解決方案

這裡指的單點，泛指在WEB服務端，一個賬戶同一時刻只能存在一個票據！

大家開發中可能都碰到的一個問題，怎麼使同一個使用者，在同一時間內只允許登入一次。

很多人都會想到在資料庫中用一個識別欄位，登入進去置1,退出置0,登入時判斷這個欄位，如果是1就說明此使用者線上，不允許登入，這個方案看似有效，但在實際使用中發現問題很多，比如，使用者不是通過程式中的退出按紐退出，而是直接關閉IE，這樣的話，下次登入時資料庫裡此使用者還線上呢，這個使用者就無法登入，當然也有一些辦法可以解決這個問題：增加一個定時作業，定期複位那些長時間線上的使用者，這樣又會造成一些問題，如果這個使用者實際上就是使用了這麼長時間，那就是誤殺。

通過多次實驗，發現.net本身可以提供這種解決方案。步驟如下：

第一：建立global.asax檔案， Session_End 事件中寫入如下代碼：

             Hashtable h = (Hashtable)Application["online"];
             if (h[Session.SessionID] != null)
                 h.Remove(Session.SessionID);
             Application["online"] = h;

第二：修改web.config檔案，在system.web 結點裡面增加

<sessionState mode="InProc"></sessionState>

這個是為了使用global.asax中的session_end事件生效。

第三：頁面的登入事件中，判斷登入使用者是否在服務端全域變數中存在，存在就不允許登入，不存在就建立。以下是實現過程，登入按紐的事件中調用。

private void isLogin()
     {
         Hashtable h = (Hashtable)Application["online"];

         if (h == null)
         {
             h = new Hashtable();
         }

         //驗證使用者是否在Application中存在(是否線上)
         IDictionaryEnumerator e1 = h.GetEnumerator();
         bool flag = false;
         while (e1.MoveNext())
         {
             if (checkCookie(e1.Value.ToString()))
             {
                 flag = true;
                 break;
             }
         }
         if (flag)
         {
             Response.Write("<script defer language='javascript'>alert('This user is online!');history.go(-1);</script>");
         }
         else
         {
             loginLogic login = new loginLogic(this.txt_user_id.Text.Trim(), this.txt_password.Text.Trim());

             if (!login.getLoginStatus)
             {
                 Response.Write("<script defer language='javascript'>alert('Invalid UserID or password.Please try again.');</script>");
             }
             else
             {
                 //產生服務端標識值
                 DateTime now = DateTime.Now;
                 string cookieValue = now.Year.ToString() + now.Month.ToString() + now.Day.ToString() + now.Hour.ToString() + now.Minute.ToString() + now.Second.ToString() + now.Millisecond.ToString();
                 //把userid + 標識值寫入全域變數表
                 h[Session.SessionID] = this.txt_user_id.Text.Trim() + "-" + cookieValue;
                 Application["Online"] = h;
                 //把標識值寫入用戶端cookie
                 Response.Cookies["hqs"].Value =cookieValue;
                 Response.Cookies["hqs"].Expires = DateTime.Now.AddDays(1);

                 //使用者資訊記入session
                 Session["userid"] = this.txt_user_id.Text.Trim();
                 Response.Redirect("Manage/index.aspx");
             }
         }
     }

private bool checkCookie(string appValue)
     {
         bool isExist = false;

         if (Request.Cookies["hqs"] != null)
         {
             string cookieValue = Request.Cookies["hqs"].Value;

             char[] sp = new char[1]{'-'};
             string appUserid = appValue.Split(sp)[0].ToString();
             string appCookie = appValue.Split(sp)[1].ToString();

             if (appUserid == this.txt_user_id.Text.Trim() && appCookie != cookieValue)
                 isExist = true;
         }
         return isExist;       
     }

注意：在VS2005的內建WEB伺服器中測試可能有問題，還在放在IIS的正式環境中去測試.

關於此方案的說明：一般情況下session 的timeout時間為20分鐘，也就是說，如果這個使用者直接關掉瀏覽器，然後馬上再登入，這個時間session還沒有到期，所有不會觸發global.asax中的session_end事件，所以會提示這個使用者還線上，20分鐘後這個事件執行過後，會刪掉這個不活動的使用者，這時候再登入就正常了。所以不要認為直接關掉IE後，再登入進不去了，就認為這個方案無效。

當然，session 的timeout 時間可以修改的，20分鐘不合適可以改。改法如下：

<sessionState mode="InProc" timeout="你認為合適的值"></sessionState>

------------------------

續上篇，現在有新的問題了，如果使用者非正常退出那麼，session在20分鐘內不會執行END事件，也就是說使用者還是線上狀態，那麼此使用者再次登入將不被允許。這顯然有點不合理。這個方案就顯得不夠完美了，希望大家補充。

補充：第三步的代碼已更新，可以解決這個問題

二、 由於某些原因，在我們的應用中會遇到一個使用者只能在一個地方登入的情況，也就是我們通常所說的單點登入。在ASP.NET中實現單點登入其實很簡單，下面就把主要的方法和全部代碼進行分析。

實現思路

利用Cache的功能，我們把使用者的登入資訊儲存在Cache中，並設定到期時間為Session失效的時間，因此，一旦Session失效，我們的Cache也到期；而Cache對所有的使用者都可以訪問，因此，用它儲存使用者資訊比資料庫來得方便。

程式碼
string sKey = username.Text.ToString().Trim(); // 得到Cache中的給定Key的值
             string sUser = Convert.ToString(Cache[sKey]); // 檢查是否存在
             if (sUser == null || sUser == String.Empty)
             {
               
                 TimeSpan SessTimeOut = new TimeSpan(0, 0, System.Web.HttpContext.Current.Session.Timeout, 0, 0);//取得Session的到期時間
                 HttpContext.Current.Cache.Insert(sKey, sKey, null, DateTime.MaxValue, SessTimeOut, System.Web.Caching.CacheItemPriority.NotRemovable, null);//將值放入cache己方便單點登入
               //成功登入
             }
             else if (Cache[sKey].ToString() == sKey)//如果這個帳號已經登入
             {
                 ClientScript.RegisterStartupScript(GetType(), "提示", "<script>alert('對不起,目前使用者已經登入');</script>");
                 return;
             }
             else
             {
                 Session.Abandon();//這段主要是為了避免不必要的錯誤導致不能登入
             }