如何做到同一个账号同一时段只能登录一个

 在许多web项目中，需要禁止用户重复登录。一般来说有两种做法：

         一是在用户表中维护一个字段isOnLine(是否在线)，用户登录时，设定值为true，用户退出时设定为false，在重复登录时，检索到该字段为true时，禁止用户登录。这种方法有明显的漏洞，及用户在非正常情况退出（关闭浏览器、关机等）是，该字段值一直为true，会导致用户无法登录。

          而另一种比较通用的做法是使用session监听，重复登录后，强制之前登录的session过期，从而踢出了该用户。具体做法是：使用监听器维护服务器上缓存的sessionMap，该map是以<session.getId(),session>的键值对，在登录后，使用userid替换session.getId()，从而使得sessionMap中维护的是<userid, session>的键值对。后续该帐号重复登录时，检索到已有该帐号session则强制它过期。

1、web.xml中配置session监听