第一个问题,由于BS结构的特点是基于请求和应答的，换句话说，服务器处于被动位置，客户浏览器处于主动为止，如果你不主动发出请求，服务器是不会鸟你的，或者说，服务器根本就不知道你是谁!
要想实现你的需求，可以在JSP页面放置一个定时器，用JavaScript搞，通过Ajax异步请求服务器，做登录状态轮询，如果发现在别的地方登录了，强制下线。
这样的话，就需要一个状态保存的容器，这个自己去搞吧，实现方案很多的。

第2个问题就更简单了，登录失败时，修改计数器的值，例如设置为错误3次就锁定，那么没错误一次就减1，到0就不让登了呗，然后启动一个解锁定时器线程，在设定的时间后将这个值修改成3
这些参数都是可以人为设定的

thinkphp中通过操作cookie来保存用户登录信息到本地。
cookie方法是ThinkPHP内置的函数，用于完成cookie的设置、获取和删除操作。
设置cookie：
cookie('name','value'); //设置cookie
cookie('name','value',3600); // 指定cookie保存时间为1小时
高级设置：
cookie('name','value',array('expire'=>3600,'prefix'=>'think_')); // 指定有效期和前缀
// 下面的代码和上面等效
cookie('name','value','expire=3600&prefix=think_')
获取cookie：

$value = cookie('name');