Asp.net中防止使用者多次登入的方法

在 web開發時，有的系統要求同一個使用者在同一時間只能 登入一次，也就是如果一個使用者已經登入了，在退出之前如果再次登入的話需要報錯。

　　常見的處理方法是，在使用者登入時，判斷此使用者是否已經在Application中存在，如果存在就報錯，不存在的話就加到Application中(Application是所有Session共有的，整個web應用程式唯一的一個對象)：

string strUserId = txtUser.Text;  ArrayList list = Application.Get("GLOBAL_USER_LIST") as ArrayList;  if (list == null)  {  list = new ArrayList();  }  for (int i = 0; i < list.Count; i++)  {  if (strUserId == (list[i] as string))  {  //已經登入了，提示錯誤資訊  lblError.Text = "此使用者已經登入";  return;  }  }  list.Add(strUserId);  Application.Add("GLOBAL_USER_LIST", list);

　　當然這裡使用Cache等儲存也可以。

　　接下來就是要在使用者退出的時候將此使用者從Application中去除，我們可以在Global.asax的Session_End事件中處理：

void Session_End(object sender, EventArgs e)  {  // 在會話結束時啟動並執行代碼。  // 注意: 只有在 Web.config 檔案中的 sessionstate 模式設定為  // InProc 時，才會引發 Session_End 事件。如果會話模式設定為 StateServer  // 或 SQLServer，則不會引發該事件。  string strUserId = Session["SESSION_USER"] as string;  ArrayList list = Application.Get("GLOBAL_USER_LIST") as ArrayList;  if (strUserId != null && list != null)   {  list.Remove(strUserId);  Application.Add("GLOBAL_USER_LIST", list);  }  }

　　這些都沒有問題，有問題的就是當使用者直接點瀏覽器右上方的關閉按鈕時就有問題了。因為直接關閉的話，並不會立即觸發Session到期事件，也就是關閉瀏覽器後再來登入就登不進去了。

　　這裡有兩種處理方式：

　　1、使用Javascript方式

　　在每一個頁面中加入一段javascript代碼：

function window.onbeforeunload()  {  if (event.clientX>document.body.clientWidth && event.clientY<0||event.altKey){  window.open("logout.aspx");  }  }

　　由於onbeforeunload方法在瀏覽器關閉、重新整理、頁面調轉等情況下都會被執行，所以需要判斷是點擊了關閉按鈕或是按下Alt+F4時才執行真正的關閉操作。

　　然後在logout.aspx的Page_Load中寫和Session_End相同的方法，同時在logout.aspx中加入事件：onload="javascript:window.close()"

　　但是這樣還是有問題，javascript在不同的瀏覽器中可能有不同的行為，還有就是當通過檔案->關閉時沒有判斷到。

　　2、使用xmlhttp方法(這種方法測試下來沒有問題)

　　在每個頁面中加入如下的javascript(這些javascript也可以寫在共通裡，每個頁面引入就可以了)

var x=0;  function myRefresh()  {  var httpRequest = new ActiveXObject("microsoft.xmlhttp");  httpRequest.open("GET", "test.aspx", false);  httpRequest.send(null);  x++;  if(x<60) //60次，也就是Session真正的到期時間是30分鐘  {  setTimeout("myRefresh()",30*1000); //30秒  }  }  myRefresh();

　　在web.config中設定

<sessionState mode="InProc" timeout="1"></sessionState>

　　test.aspx頁面就是一個空頁面，只不過需要在Page_Load中加入：

Response.Expires = -1;

　　保證不使用緩衝，每次都能調用到這個頁面。

　　原理就是：設定Session的到期時間是一分鐘，然後在每個頁面上定時每30秒串連一次測試頁面，保持Session有效，總共連60次，也就是30分鐘。如果30分鐘後使用者還沒有操作，Session就會到期。當然，如果使用者直接關閉瀏覽器，那麼一分鐘後Session也會到期。這樣就可以滿足要求了。