登录
首页 >  文章 >  php教程

CodeIgniter4多设备登录防重复方法

时间:2026-03-28 23:36:48 399浏览 收藏

本文深入解析了在 CodeIgniter 4 中构建高安全性的单账号多端登录防控机制——通过数据库记录用户最后活跃时间、登录时实时校验冲突会话、配合前端轻量心跳维持状态,实现无需 WebSocket 或复杂长连接即可精准识别并拦截重复登录,有效杜绝同一账号在手机、电脑等多设备同时在线带来的安全隐患与数据不一致风险,为开发者提供一套简洁、可靠、开箱即用的实战方案。

防止 CodeIgniter 4 用户多设备重复登录的完整实现方案

本文介绍如何在 CodeIgniter 4 中实现「单账号多端登录检测」机制,通过心跳维持在线状态、服务端会话校验与登录拦截,确保用户再次登录时能及时提示“账号已在其他设备登录”。

本文介绍如何在 CodeIgniter 4 中实现「单账号多端登录检测」机制,通过心跳维持在线状态、服务端会话校验与登录拦截,确保用户再次登录时能及时提示“账号已在其他设备登录”。

在构建安全可靠的用户认证系统时,限制同一账号同时在多个设备上活跃是常见需求。CodeIgniter 4 默认的 Session 机制本身不提供跨设备登录冲突检测能力——因为 HTTP 是无状态协议,服务端无法主动感知客户端是否已关闭浏览器或退出登录。若不加干预,用户 A 在手机和电脑上先后登录同一账号,系统将生成两个独立会话,存在安全与数据一致性风险。

核心设计思路:基于「最后活跃时间」的会话互斥机制

我们采用轻量级、高兼容性的方案:不依赖 WebSocket 或长连接,而是通过客户端定时心跳 + 服务端会话状态标记,实现准实时的多登录识别。关键逻辑如下:

  • 每个成功登录的用户,在数据库 users 表(或独立 user_sessions 表)中记录 last_active_at 时间戳;
  • 登录接口(如 LoginController::attempt())在验证凭证通过后,先查询该用户最近一次有效会话的 last_active_at 是否在 2 分钟内
  • 若存在活跃会话,则拒绝本次登录,并返回提示:"account already login in other device";
  • 登录成功后,启动前端心跳(setInterval),每 60 秒向服务端发送一个轻量 POST /api/heartbeat 请求;
  • 心跳接口仅更新当前会话的 last_active_at 字段,不返回敏感数据,且需校验 Session ID 有效性。

✅ 实现步骤(含代码示例)

1. 扩展用户表(推荐新增字段)

ALTER TABLE users 
ADD COLUMN last_active_at DATETIME NULL DEFAULT NULL,
ADD COLUMN current_session_id VARCHAR(128) NULL;

? 可选:为提升性能,对 last_active_at 添加索引:CREATE INDEX idx_last_active ON users(last_active_at);

2. 登录逻辑增强(Controllers/LoginController.php)

<?php

namespace App\Controllers;

use CodeIgniter\Controller;
use CodeIgniter\I18n\Time;

class LoginController extends Controller
{
    public function attempt()
    {
        $request = service('request');
        $userModel = model('UserModel');

        $email = $request->getPost('email');
        $password = $request->getPost('password');

        $user = $userModel->where('email', $email)->first();

        if (!$user || !password_verify($password, $user['password_hash'])) {
            return $this->response->setJSON(['error' => 'Invalid credentials'])->setStatusCode(401);
        }

        // ? 检查是否已有活跃会话(2分钟内)
        $twoMinutesAgo = Time::now()->subMinutes(2)->toDateTimeString();
        if ($user['last_active_at'] && strtotime($user['last_active_at']) > strtotime($twoMinutesAgo)) {
            return $this->response->setJSON([
                'error' => 'account already login in other device'
            ])->setStatusCode(409); // HTTP 409 Conflict
        }

        // ✅ 登录成功:写入 session & 更新 last_active_at
        $session = session();
        $session->set('user_id', $user['id']);
        $session->set('email', $user['email']);

        $userModel->update($user['id'], [
            'last_active_at' => date('Y-m-d H:i:s'),
            'current_session_id' => $session->getId()
        ]);

        return $this->response->setJSON(['success' => true, 'message' => 'Login successful']);
    }
}

3. 心跳接口(Controllers/Api/HeartbeatController.php)

<?php

namespace App\Controllers\Api;

use CodeIgniter\Controller;
use CodeIgniter\I18n\Time;

class HeartbeatController extends Controller
{
    public function index()
    {
        $session = session();
        if (!$session->has('user_id')) {
            return $this->response->setStatusCode(401)->setJSON(['error' => 'Unauthorized']);
        }

        $userModel = model('UserModel');
        $userModel->update($session->get('user_id'), [
            'last_active_at' => date('Y-m-d H:i:s')
        ]);

        return $this->response->setJSON(['status' => 'ok']);
    }
}

4. 前端心跳脚本(放入登录后页面的

资料下载
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>