Evet kullanıcı sayısı epey fazla, bu durumda Application kapsamı yerine veritabanı kullanacağız. Ayrıca böylece çözümümüz ‘Cluster destekli’ olacak.

Veritabanında kullanıcıların kayıtlı olduğu bir KULLANICI tablosu olduğunu varsayıyorum. Bu tabloya NULLABLE bir LOGIN_ID alanı eklemeliyiz. Bu alandaki değer eğer NULL ise bu üyenin şu an oturum açmadığı anlamına gelir. Bu alanda oturum açan kullanıcı için bir UUID kaydedeceğiz.

Kullanıcı oturum açarken kullanıcı adı ve şifre kontrolü yapıp veritabanından kullanıcı bilgileri getirerek kullanıcının oturum açıp açamayacağına karar verdiğimiz yerde ilave olarak bu LOGIN_ID’yi de kontrol edeceğiz.

LOGIN_ID 

boş/null ise kullanıcının oturum açmasına izin vereceğiz ve kullanıcının

CFID:CFTOKEN 

bilgilerini bu LOGINID’ye kaydedeceğiz (update işlemi). (Eğer LOGINID için

createUUID() 

ile başka bir UUID kullanırsanız Session kapsamına da bu değeri kaydedin, çünkü sonra her request için karşılaştırma yapacağız)

Eğer LOGIN_ID dolu ve kullanıcının şu an ki

CFID:CFTOKEN

bilgileri ile aynı ise kullanıcıya yine izin vereceğiz. (Eğer varsayılan 20 dakika kalıcı çerezli session ve cflogin framework’ünü bir arada kullanıyorsanız bu gerekli)

Fakat LOGIN_ID dolu ve içerdiği değer

CFID:CFTOKEN

‘dan farklıysa kullanıcıya bu kullanıcının zaten oturum açmış olduğunu mevcut oturumu kapatarak oturum açmak isteyip istemediğini soracağız. Kullanıcı evet derse LOGIN_ID’ye yeni CFID:CFTOKEN’ı kaydedeceğiz ve oturum açmasına izin vereceğiz.

Ayrıca her request için aktif oturumun geçerli olup olmadığını kontrol etmek durumundayız. Bu kontrolde LOGIN_ID ile CFID:CFTOKEN’ı karşılaştırırız. Eğer farklıysa bu kullanıcının oturumu artık geçersiz demektir.

Son olarak kullancı kendi isteğiyle oturumu kapattığında ve session timeout olduğunda (artı eğer cflogin framework’ünü kullanıyorsanız login timeout olduğunda, ki login, session’dan önce timeout olabilir) kullanıcının veritabanı kaydındaki

LOGIN_ID'yi NULL

yapın.

(Not: Application.cfc kullanırsanız onSessionEnd() metodu session timeout olduğunda otomatikman çalışıyor! Aksi taktirde session timeout’u Java’ya girerek anlamak zorundasınız veya her request için login geçerliliği kontrolü yapmak yerine mevcut açık oturumu başka bir oturumdayken kapatmak zorundasınız (ki bu bir hile ile yapılabilir, o yüzden önerilmez). Eğer session timeoutu algılatamıyorsanız, sorun değil, bu çözüm yine de çalışır)

Bu çözümü performans açısından irdeleyelim. Sistemi etkileyebilecek fazladan iki sorgu yapıyoruz: biri oturum açıldıktan sonra yapılan update işlemi, diğeri de her request için yaptığımız oturum geçerlilik kontrolü. Her iki işlemde

KULLANICI_ID

yani Primary Key alan kullanılarak yapılacağı için performansı çok az etkileyecektir. Ayrıca MySQL değilde daha gelişmiş SQLServer veya Oracle gibi veritabanları kullanıyorsak bu veritabanları update işleminde sadece ilgili satırı kilitlediğinden KULLANICI tablosu üzerindeki diğer işlemler normal şekilde çalışacaktır.

Evet bu yöntem her yönden gayet iyi (yine de ek öneriler ve düzeltmelere açığım elbette). iyi çalışmalar,