CodeIgniter4多设备登录防重复方法
2026-03-28 23:36:48
0浏览
收藏
本文深入解析了在 CodeIgniter 4 中构建高安全性的单账号多端登录防控机制——通过数据库记录用户最后活跃时间、登录时实时校验冲突会话、配合前端轻量心跳维持状态,实现无需 WebSocket 或复杂长连接即可精准识别并拦截重复登录,有效杜绝同一账号在手机、电脑等多设备同时在线带来的安全隐患与数据不一致风险,为开发者提供一套简洁、可靠、开箱即用的实战方案。
本文介绍如何在 CodeIgniter 4 中实现「单账号多端登录检测」机制,通过心跳维持在线状态、服务端会话校验与登录拦截,确保用户再次登录时能及时提示“账号已在其他设备登录”。
本文介绍如何在 CodeIgniter 4 中实现「单账号多端登录检测」机制,通过心跳维持在线状态、服务端会话校验与登录拦截,确保用户再次登录时能及时提示“账号已在其他设备登录”。
在构建安全可靠的用户认证系统时,限制同一账号同时在多个设备上活跃是常见需求。CodeIgniter 4 默认的 Session 机制本身不提供跨设备登录冲突检测能力——因为 HTTP 是无状态协议,服务端无法主动感知客户端是否已关闭浏览器或退出登录。若不加干预,用户 A 在手机和电脑上先后登录同一账号,系统将生成两个独立会话,存在安全与数据一致性风险。
核心设计思路:基于「最后活跃时间」的会话互斥机制
我们采用轻量级、高兼容性的方案:不依赖 WebSocket 或长连接,而是通过客户端定时心跳 + 服务端会话状态标记,实现准实时的多登录识别。关键逻辑如下:
- 每个成功登录的用户,在数据库 users 表(或独立 user_sessions 表)中记录 last_active_at 时间戳;
- 登录接口(如 LoginController::attempt())在验证凭证通过后,先查询该用户最近一次有效会话的 last_active_at 是否在 2 分钟内;
- 若存在活跃会话,则拒绝本次登录,并返回提示:"account already login in other device";
- 登录成功后,启动前端心跳(setInterval),每 60 秒向服务端发送一个轻量 POST /api/heartbeat 请求;
- 心跳接口仅更新当前会话的 last_active_at 字段,不返回敏感数据,且需校验 Session ID 有效性。
✅ 实现步骤(含代码示例)
1. 扩展用户表(推荐新增字段)
ALTER TABLE users ADD COLUMN last_active_at DATETIME NULL DEFAULT NULL, ADD COLUMN current_session_id VARCHAR(128) NULL;
? 可选:为提升性能,对 last_active_at 添加索引:CREATE INDEX idx_last_active ON users(last_active_at);
2. 登录逻辑增强(Controllers/LoginController.php)
<?php
namespace App\Controllers;
use CodeIgniter\Controller;
use CodeIgniter\I18n\Time;
class LoginController extends Controller
{
public function attempt()
{
$request = service('request');
$userModel = model('UserModel');
$email = $request->getPost('email');
$password = $request->getPost('password');
$user = $userModel->where('email', $email)->first();
if (!$user || !password_verify($password, $user['password_hash'])) {
return $this->response->setJSON(['error' => 'Invalid credentials'])->setStatusCode(401);
}
// ? 检查是否已有活跃会话(2分钟内)
$twoMinutesAgo = Time::now()->subMinutes(2)->toDateTimeString();
if ($user['last_active_at'] && strtotime($user['last_active_at']) > strtotime($twoMinutesAgo)) {
return $this->response->setJSON([
'error' => 'account already login in other device'
])->setStatusCode(409); // HTTP 409 Conflict
}
// ✅ 登录成功:写入 session & 更新 last_active_at
$session = session();
$session->set('user_id', $user['id']);
$session->set('email', $user['email']);
$userModel->update($user['id'], [
'last_active_at' => date('Y-m-d H:i:s'),
'current_session_id' => $session->getId()
]);
return $this->response->setJSON(['success' => true, 'message' => 'Login successful']);
}
}3. 心跳接口(Controllers/Api/HeartbeatController.php)
<?php
namespace App\Controllers\Api;
use CodeIgniter\Controller;
use CodeIgniter\I18n\Time;
class HeartbeatController extends Controller
{
public function index()
{
$session = session();
if (!$session->has('user_id')) {
return $this->response->setStatusCode(401)->setJSON(['error' => 'Unauthorized']);
}
$userModel = model('UserModel');
$userModel->update($session->get('user_id'), [
'last_active_at' => date('Y-m-d H:i:s')
]);
return $this->response->setJSON(['status' => 'ok']);
}
}