用Redis来防止账号重复登录，提升安全性其实挺简单的办法

在网上看到很多人讨论怎么用Redis解决账号重复登录的问题,觉得挺有意思的，其实核心思路很简单，就是把登录状态这个“令牌”放在一个又快又中心化的地方管起来，这样无论用户请求打到哪台服务器上，我们都能立刻知道这个账号当前是不是已经登录了，下面我就把这个方法掰开揉碎了讲讲。

核心思想：一个账号，一个“位置”

想象一下,每个用户账号就像一辆车，而登录状态就像这辆车的唯一钥匙，传统的办法（比如只用Session）相当于把钥匙放在某一个小区的保安亭（某台服务器），当这辆车一直在同一个小区跑，没问题，但一旦它开进了另一个小区（请求到了另一台服务器），新小区的保安不认识这把钥匙，可能就会要求车主重新配一把（重新登录），或者更糟的是，两个小区都给了同一把钥匙的复制品（重复登录），这就乱套了。

Redis在这里扮演的角色,就是一个全市统一的、超级高效的“交通管理中心”，每辆车（账号）只要一启动（登录），就必须在这个中心登记：“我，车牌号XXX，现在正在路上跑”，之后，任何地方想查询这辆车的信息，只要问这个中心就行，瞬间得到答案。

具体怎么操作？

这个方法主要分几个步骤,我们一步步来看。

第一步,用户登录时，当用户输入账号密码验证通过后，系统需要做两件事：

1. 生成一个唯一代表这次登录会话的“令牌”，比如一个长长的随机字符串，我们叫它token，这个token会返回给用户的浏览器（通常存在Cookie或本地存储里）。

2. 紧接着,系统要立刻向Redis“登记”，登记的信息很简单，就是一个键值对。

   • 键（Key）：这个键的取名有讲究，要能唯一代表这个用户，通常我们会用像 user_login_status:用户ID 这样的格式，比如用户ID是123，键就是 user_login_status:123，这样非常清晰。
   • 值（Value）：这里就存上面生成的那个token。

   光存进去还不行,还得给它设个“有效期”，这是Redis一个非常棒的特性，通过 EXPIRE 命令，我们可以给这个键值对设置一个生存时间，比如7200秒（2小时），意思是，如果2小时内这个键没有被更新或访问，它就会自动从Redis中删除，这正好对应了用户的“登录超时”或“会话过期”。

   

第二步,检查每次请求，用户登录后，每次向服务器发起的请求，都会带着那个token，服务器收到请求后，不能直接相信它，得去“交通管理中心”（Redis）核实一下。

1. 服务器根据当前用户的ID,拼出那个Key，也就是 user_login_status:123。
2. 用这个Key去Redis里查一下,看看存不存在，存在的话，值是什么。
3. 关键比对：把Redis里存的token和用户请求带过来的token进行对比。
   • 如果一致：说明是合法的登录会话，允许访问，最好“刷新”一下这个Key的有效期（再次执行EXPIRE命令），这就是“滑动过期时间”，用户只要在活跃，就不会被踢下线。
   • 如果不一致：比如Redis里存的是另一个token，而用户带的是旧的token，那说明这个账号已经在别的地方用新的会话登录了，这时，服务器就应该拒绝这个请求，并返回提示信息如“您的账号已在其他地方登录”。

第三步,处理“挤下线”或主动退出，这正是我们想要的效果——防止重复登录。

• 主动退出：用户点击“退出登录”，服务器除了清除本地的会话信息，更重要的是要去Redis里把那个 user_login_status:用户ID 的Key直接删掉，这样，这个账号就彻底“离线”了。
• 被动“挤下线”：当用户A已经在电脑上登录，然后用户B又用同样的账号在手机上成功登录，按照上面的流程，用户B登录时，会生成一个新的token，并覆盖掉Redis里老的token值，当用户A的电脑再发起请求时，他带的还是旧的token，一比对发现和Redis里的新值对不上，就会被判定为无效会话，强制跳转到登录页面，这就实现了“后登录者把先登录者踢下线”的效果，保证了同一时间只有一个活跃会话。

这个方法好在哪里？

1. 简单直接：逻辑非常清晰，就是存、取、比三件事，理解和实现起来都没什么难度。
2. 高效快速：Redis的内存读写速度极快，每次请求都做一次校验，对性能的影响微乎其微。
3. 分布式支持：无论你的应用部署了多少台服务器，只要它们连接的是同一个Redis，登录状态就是全局统一的，完美支持分布式架构。
4. 自动过期：利用Redis的过期机制，轻松管理会话生命周期，防止僵尸会话长期占用。

需要注意的小细节

• Redis本身的高可用：既然所有服务器的登录状态都依赖Redis，那它就不能轻易宕机，所以生产环境通常需要配置Redis的主从复制或者集群模式，保证高可用。
• Token的安全性：生成的token要有足够的随机性和长度，防止被猜解，传输过程最好使用HTTPS加密。
• 清除旧数据：虽然设置了自动过期，但在某些场景下（如用户修改密码后强制所有设备下线），可能需要主动遍历并删除该用户所有相关的登录状态键。

用Redis来管理登录状态,防止账号重复登录，确实是一个既简单又高效实用的办法，它就像给整个系统请了一个反应迅捷、铁面无私的中央调度员，确保了账号登录规则的严格执行。