Java管理用户在线状态有三种主流方案:基于HttpSession适用于中小应用但受限于单机;Redis分布式方案支持高并发与水平扩展,推荐生产使用;JWT混合模式兼顾无状态鉴权与可控状态,适合前后端分离。
Java中管理用户在线状态,核心在于准确识别“谁在什么时候处于活跃状态”,并能及时清理过期或离线的记录。不依赖单点Session存储,而是结合会话生命周期、心跳机制与轻量级状态存储,才能支撑高并发、可水平扩展的在线状态服务。
基于HttpSession的简单在线状态跟踪
适用于中小应用,利用Servlet容器原生Session机制快速落地:
- 用户登录成功后,将用户ID存入session.setAttribute("userId", userId),同时在全局Map(如ConcurrentHashMap)中记录userId → session.getId()
- 监听HttpSessionListener:在sessionDestroyed()中移除该用户对应的状态条目
- 通过session.getLastAccessedTime()判断是否超时(需配合合理的session timeout配置,如30分钟)
- 注意:此方式受限于单机Session,集群下需配置Session复制或粘性会话,否则状态不可靠
基于Redis的分布式在线状态管理
生产环境推荐方案,解耦应用节点,支持实时查询与横向扩容:
- 用户登录后,向Redis写入键值对:ONLINE:userId → timestamp(如使用String类型),并设置过期时间(如30分钟)
- 客户端定期发送心跳(如每60秒调用一次/api/heartbeat接口),服务端更新对应key的过期时间(EXPIRE或SET key value EX 1800 NX)
- 查询在线用户数:用KEYS ONLINE:*不推荐,改用SCAN分批匹配,或更优——用Redis Set结构,登录时SADD ONLINE_SET userId,心跳续期用EXPIRE单独维护时效
- 离线处理:可结合WebSocket关闭事件、Token过期监听或定时任务扫描过期key进行清理
结合JWT与后台状态缓存的混合模式
兼顾无状态鉴权与可控在线状态,适合前后端分离架构:
立即学习“Java免费学习笔记(深入)”;
- 登录成功发放JWT,载荷中包含userId和jti(唯一令牌ID)
- 服务端将jti → userId + loginTime存入Redis,设TTL略长于JWT过期时间(如JWT 2小时,Redis存2.5小时)
- 每次请求校验JWT后,再查Redis确认该jti是否仍有效(支持主动踢下线:删除对应jti即可)
- 用户登出时,将jti加入黑名单(如Redis Set JWT_BLACKLIST:jti),后续请求先检查黑名单
状态一致性与边界场景处理
真实系统中,网络延迟、客户端异常退出、服务重启都会影响状态准确性:
- 避免强依赖“最后一次心跳时间”判断在线:建议定义“最近5分钟内有心跳”为在线,而非“未超时即在线”
- WebSocket断连不一定等于用户下线(如切后台、休眠),需配合前端visibilitychange + 定时心跳双保险
- 服务重启时,Redis数据若持久化开启可保留;若用内存模式,需接受短暂状态丢失,或启动时加载DB历史登录记录做兜底标记
- 高频查询在线列表(如IM好友状态)建议用布隆过滤器+本地缓存预热,减少Redis压力
