封禁账号是一个比较常见的业务需求,尤其是在论坛、社区类型的项目中,当出现了违规用户时我们需要将其账号立即封禁。
常规的设计思路是:在设计用户表时增加一个状态字段,例如:status,其值为1时代表账号正常,其值为0时代表账号已被封禁。
当我们需要封禁一个账号时,只需要将其账号的status值修改为0即可,对方再次登录系统时,我们便可以检测到status值不为1禁止登录。
这种模式虽然思路简单,但也有一个不小的问题,那就是: 如果对方一直在线不注销登录呢?
由于我们只在登录时检测status值,这也就代表:如果对方不主动注销账号,他的会话还是会一直存在且有效。
那怎么才可以做到在封禁账号后立即生效?
你可能会想到使用拦截器,拦截用户的所有请求检测账号状态:status=0时禁止访问,status=1时再对请求放行
此方式虽然解决了问题,但是如果每次请求都要进行数据库查询的话,数据库表示你如此扫荡我你就没有一点心理压力吗?
那怎么办?上缓存?虽然可以缓解性能压力,但似乎总感觉没有完美解决问题。
真正的问题点在于:一个正常的系统只有0.01%的用户是需要封禁的,我们对其它99.99%用户的实时检测都是不必要的性能浪费。
在如上场景中,我们真正需要的是一个踢人下线的操作,即:我们需要在封禁某个用户后,使他的会话立即掉线,即时他重新登录也会被禁止登录
那么,怎么做到实时踢人下线呢?
笔者使用的是sa-token权限认证框架,这个框架封装了踢人下线操作调用非常方便,不用像其它框架一样还需要我自己再封装一层才能做到。
具体代码首先添加pom.xml框架
<!-- sa-token 权限认证, 在线文档: --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.12.1</version> </dependency>在用户登录时将账号id写入会话中
@RestController @RequestMapping("user") public class UserController { @RequestMapping("doLogin") public String doLogin(String username, String password) { // 此处仅作示例模拟,真实项目需要从数据库中查询数据进行比对 if("zhang".equals(username) && "123456".equals(password)) { StpUtil.setLoginId(10001); return "登录成功"; } return "登录失败"; } }将指定id的账号
// 使指定id账号的会话注销登录,对方再次访问系统时会抛出`NotLoginException`异常,场景值为-5 @RequestMapping("kickout") public String kickout(long userId) { StpUtil.logoutByLoginId(userId); return "剔出成功"; }关键代码就在 StpUtil.logoutByLoginId(userId) 这一句,使指定id的账号注销登录 (踢人下线)
如果觉得文章写得不错还请大家不要吝惜为文章点个赞,您的支持是我更新的最大动力!
最后附上项目链接:
官网文档:
Gitee开源地址: https://gitee.com/sz6/sa-token
GitHub开源地址: https://github.com/click33/sa-token