Как в веб-приложении под одним аккаунтом запретить одновременную работу нескольким пользователям?

Question

[Павел]

Нужно сделать проверку, чтобы под одним аккаунтом в систему (веб-приложение на ASP.NET MVC) одновременно мог залогиниться только 1 пользователь.

Т.е. если под пользователем Vasya в данный момент в веб-приложении кто-то уже работает, и с другого компа пытаются под этим же аккаунтом залогиниться — не пускать.


Подскажите, как проверять? Думаю ASP.NET или PHP не важно — принципы в веб-приложениях одинаковые.

Comments

[Павел]

Обычно в SaaS цена формируется в зависимости от одновременно работающих в системе пользователей. Интересует алгоритм, как в таких системах корректно определяют и обрабатывают это количество пользователей.

[Павел]

Фишка в том, чтобы не убирать у пользователя возможность сидеть с разных компов в разное время. Но не дать возможности сидеть под одной учеткой одновременно.

Answer 1

[Анатолий]

Все что писали выше банально занывается «хранение сесии в базе». Обычная сессия, пока есть активная для такого логина никого по нему не пускаете, если человек отошел от компа и хочет залогиниться с другого места, у сессии есть время «неактивности», хотя я думаю Вы понимаете как сессии работают?

Comments

[nicolausYes]

Именно так реализовано в torrentpier. В базе хранится сессия, если заходите с компьютера, с которого заходили в последний раз, все нормально. Если заходите с другого, поле сессии перезаписывается и на первом вы уже разлогинены.

[ArturSitnikoff]

Первого выкидывать плохо. Когда первый сочтет нужным дать кому-то попользоваться акаунтом, выйдет, или пройдут те ~15 минут жизни сессии -тогда пожалуйста. А ответ верный. Единственное что осталось уточнить — это добавлять в таблицу сессий поле id юзера или поместить id/логин в переменную сессии. Разумеется первый вариант, потому как заодно реализовывается механизм пользователи онлайн и не придется осуществлять поиск по тексту.

Answer 2

[ngreduce]

Думаю лучше выкидывать старого пользователя. На нервы будет действовать сильно, и не пострадают сильно добросовестные пользователи.

Comments

[Александр]

Представте, что вы долго и упорно вводили какую-то информацию, а Вас в самый последний момент разлогинивает. Наверное Вы будете очень рады.

[Павел]

zlobin, вот-вот, думаю пользователь не обрадуется. Нужно как-то однозначно выяснять работает пользователь в данный момент с системой или отошел.
Возможна ситуация, когда пользователь 5-20 минут сидит около компа и подоготавливает инфу для внесения (на бумаге) -> у него открыта форма для заполнения -> на 20 минуте у него заканчивается сессия, а на 21 при попытке сохранения данных в форме ему выдается сообщение «ваша сессия закончилась и данные не сохранились» или «под вашим аккаунтом вошли с другого компьютера, данные не сохранились». Думаю не обрадуется.

Answer 3

[p4s8x]

Как вариант — писать постоянно что-то в cookie и при следующем переходе это проверять и писать новое значение и т.д.

Comments

[p4s8x]

И соответственно не пускать, если твои куки не верные и использовать кулдаун.

[Павел]

открыл веб-приложение, записал на стороне клиента «что-то» в куки. Ушел от компьютера и забыл разлогиниться.
С другого компа пытаются залогиниться, а не пускает. Хотелось бы идеальный алгоритм.

[p4s8x]

Тогда можно не не пускать нового, а выкидывать старого.

[VasG]

Так было в начальных версиях mail.ru-агента: у нас было два компьютера, и на обоих агент автоматически логинился в мой аккаунт при загрузке Windows. И вот сижу я, переписываюсь с кем-нибудь, а брат решает включить второй компьютер. Знаете как раздражало!

Answer 4

[xaker1]

Как вариант сохранять в базе ip+браузер и время последнего действия. Если пытаются под Vasya зайти, но ip+браузер не совпадает, а с последнего действия прошло менее 5 минут (logout по таймауту) то выдаем сообщение, что данный пользователь уже зашел.

Answer 5

[Дамир Абдуллин]

Выше уже описали, но я уточню как делал подобное сам. При авторизации пользователя (входе на сайт) я пишу в cookie значение специального поля в БД (пусть будет security_token). При вводе пользователем своих логина и пароля значение данного поля генерируется заново, затем обновляется в БД и записывается в cookies. На сайте, при переходе по страницам сравнивается значение данной cookie, а также cookie, отвечающей за авторизацию (которая хранит id сессии), с данными, находящимися в БД. Если значение cookie с именем security_token не совпадает со значением в БД, то значит, что кто-то вошел под тем же логином. А как поступить — зависит уже от требований.

Answer 6

[Anserchik]

Как вариант к предложенным проверкам ip+браузер и «выкидывании» при логине с другова компа:
при логине довабить чекбокс, если его отметить, то «выкинуть» с другова компа (или просто браузера) до окончания таймаута нельзя.

Т.е. перед авторизацией обычно есть чекбокс «запомнить», а тут могло бы быть «закрепить». Если отметил — привязал аккаунт к этому браузеру до логаута, если не отметил — можешь зайти с другова компа и тебя автоматически «выкинет» с этого. надеюсь нормально объяснил