【Redis应用】基于Redis实现共享session登录(一)

您所在的位置：网站首页 › redis获取数据不全 › 【Redis应用】基于Redis实现共享session登录(一)

【Redis应用】基于Redis实现共享session登录(一)

2024-01-17 07:34| 来源: 网络整理| 查看: 265

开启掘金成长之旅！这是我参与「掘金日新计划 · 2 月更文挑战」的第 27 天，点击查看活动详情

一.引入

在开发项目过程中，我们常常能碰到需要登录注册的场景，而使用短信验证码或邮箱验证码进行验证又是我们常见的选择之一。Session在其中起到了很重要的用处，在单体项目时可能刚好够用，但在集群环境下却容易碰到一些小问题。本篇便是介绍基于Session实现登录的流程，然后引出集群的Session的共享问题，最后一起看看如何使用Redis解决Session的问题。

二.基于Session实现登录流程 (1) 整体流程

在这里插入图片描述

接下来让我们一起按照流程图逐一实现.....

(2) 发送短信验证码

在这里插入图片描述

用户在提交手机号后，会校验手机号是否合法，如果不合法，则要求用户重新输入手机号如果手机号合法，后台此时生成对应的验证码，同时将验证码进行保存，然后再通过短信的方式将验证码发送给用户

// 在controller中调用此方法进行发生验证码 @Override public Result sendCode(String phone, HttpSession session) { // 1.使用自定义正则表达式工具包校验手机号 if (RegexUtils.isPhoneInvalid(phone)) { // 2.如果不符合，返回错误信息 return Result.fail("手机号格式错误！"); } // 3.符合，使用hutool工具类随机生成验证码 String code = RandomUtil.randomNumbers(6); // 4.保存验证码到 session session.setAttribute("code",code); // 5.模拟发送验证码，可根据需要自行实现真实功能 log.debug("发送短信验证码成功，验证码：{}", code); // 返回ok return Result.ok(); } (3) 短信验证码登录、注册

在这里插入图片描述

用户将验证码和手机号进行输入，后台从session中拿到当前验证码，然后和用户输入的验证码进行校验，如果不一致，则无法通过校验，如果一致，则后台- 根据手机号查询用户，如果用户不存在，则为用户创建账号信息，保存到数据库，无论是否存在，都会将用户信息保存到session中，方便后续获得当前登录信息.

// 在controller中调用此方法进行发生登录验证 // 不能相信前端传过来的请求参数！！！ // 后端需要再次进行检验 @Override public Result login(LoginFormDTO loginForm, HttpSession session) { // 1.根据正则工具类校验手机号 String phone = loginForm.getPhone(); if (RegexUtils.isPhoneInvalid(phone)) { // 2.如果不符合，返回错误信息 return Result.fail("手机号格式错误！"); } // 3.校验验证码 Object cacheCode = session.getAttribute("code"); String code = loginForm.getCode(); if(cacheCode == null || !cacheCode.toString().equals(code)){ //3.不一致，报错 return Result.fail("验证码错误"); } //一致，根据手机号(数据库手机号设置了唯一)查询用户 // select * from tb_user where phone = ? User user = query().eq("phone", phone).one(); //5.判断用户是否存在 if(user == null){ //不存在，则使用封装的方法创建 user = new User(); user.setPhone(phone); user.setNickName("user_" + RandomUtil.randomString(10)); this.save(user); } //7.将用户信息进行脱敏之后保存用户信息到session中 // 防止将密码等敏感信息暴露在浏览器中 session.setAttribute("user", BeanUtils.copyProperties(user,UserDTO.class)); return Result.ok(); }

如果不进行脱敏，我们通过debug功能可以观察到用户的全部信息都在，这样极其不安全，所以我们应当在返回用户信息之前，将用户的敏感信息进行隐藏，核心思路就是书写一个UserDto对象，这个UserDto对象不保存敏感信息了，我们在返回前，将有用户敏感信息的User对象转化成没有敏感信息的UserDto对象，那么就能够避免这个尴尬的问题了。

(4) 校验登录状态

用户在请求服务时候，会从cookie中携带者JsessionId到后台，后台通过JsessionId从session中拿到用户信息，如果没有session信息，则进行拦截，如果有session信息，则将用户信息保存到threadLocal中，并且放行。

在这里插入图片描述

每个用户其实对应都是去找tomcat线程池中的一个线程来完成工作的，使用完成后再进行回收，既然每个请求都是独立的，所以在每个用户去访问我们的工程时，我们可以使用threadlocal来做到线程隔离，每个线程操作自己的一份数据。在threadLocal中，无论是他的put方法和他的get方法，都是先从获得当前用户的线程，然后从线程中取出线程的成员变量map，只要线程不一样，map就不一样，所以可以通过这种方式来做到线程隔离。

public class UserHolder { private static final ThreadLocal tl = new ThreadLocal(); public static void saveUser(UserDTO user){ tl.set(user); } public static UserDTO getUser(){ return tl.get(); } public static void removeUser(){ tl.remove(); } }

当我们的服务越来越多时，我们不可能在每个服务中都写上一大堆相同的代码进行判断，因此我们可以通过配置拦截器统一进行校验。

在这里插入图片描述

配置拦截器： public class LoginInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { //1.获取session HttpSession session = request.getSession(); //2.获取session中的用户 Object user = session.getAttribute("user"); //3.判断用户是否存在 if(user == null){ //4.不存在，拦截，返回401状态码 response.setStatus(401); return false; } //5.存在，保存用户信息到手动封装的Threadlocal中 UserHolder.saveUser((UserDTO)user); //6.放行 return true; } } 编写配置类使拦截器生效： @Configuration public class MvcConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { // 登录拦截器 registry.addInterceptor(new LoginInterceptor()) // 设置不需要拦截的路径 .excludePathPatterns( "/shop/**", "/voucher/**", "/shop-type/**", "/upload/**", "/blog/hot", "/user/code", "/user/login" ).order(1); } } 返回当前用户登录信息 @GetMapping("/me") public Result me() { // 获取当前登录的用户并返回 UserDTO user = UserHolder.getUser(); return Result.ok(user); }

至此我们便实现了基础Session实现登录的功能~ 在这里插入图片描述

三.session共享问题分析

session共享问题：多台Tomcat并不共享session存储空间，在集群部署时，当请求切换到不同tomcat服务时导致数据丢失的问题。在这里插入图片描述

核心思路分析：

每个tomcat中都有一份属于自己的session,假设用户第一次访问第一台tomcat，并且把自己的信息存放到第一台服务器的session中，但是第二次这个用户访问到了第二台tomcat，那么在第二台服务器上，肯定没有第一台服务器存放的session，所以此时整个登录拦截功能就会出现问题，无法获取到用户的登录信息，我们能如何解决这个问题呢？

早期的方案是session拷贝，就是说虽然每个tomcat上都有不同的session，但是每当任意一台服务器的session修改时，都会同步给其他的Tomcat服务器的session，这样的话，就可以实现session的共享了

但是这种方案具有两个大问题:

每台服务器中都有完整的一份session数据，服务器压力过大。

session拷贝数据时，可能会出现延迟

所以后来采用的方案都是基于redis来完成，我们把session换成redis，redis数据本身就是共享的，就可以避免session共享的问题了

四.基于Redis实现共享session登录 (1) 键值结构设计

首先我们要思考一下利用redis来存储数据，那么到底使用哪种结构呢？由于存入的数据比较简单，我们可以考虑使用String，或者是使用哈希，如果使用String，他的value格式会多占用一点空间，如果使用哈希，则他的value中只会存储他数据本身，如果不是特别在意内存，其实使用String就可以啦。在这里插入图片描述

关于key的处理，由于session是每个用户都有自己的session，但是redis的key是共享的，因此，在设计这个key的时候，我们需要满足两点：

key要具有唯一性

key要方便携带

由此在上述示例中：

发送短信验证码时，我们不能使用"code"作为key存储，因为当多个用户获取时，由于code唯一，value会被相互覆盖。此处，我们可以选择手机号作为key。

进行登录校验存储用户信息时，如果我们也采用手机号作为key来存储当然是可以的，但是如果把这样的敏感数据存储到redis中并且从页面中带过来毕竟不太安全，所以我们在后台生成一个随机串token，然后让前端带来这个token就能完成我们的整体逻辑。

(2) 整体流程

下图流程和上述流程基本一致，只是验证码的存储与获取方式换成了Redis。在这里插入图片描述

此处流程也基本一致，只是存储方式有些许改变。当注册完成后，用户去登录会去校验用户提交的手机号和验证码，是否一致。如果一致，则根据手机号查询用户信息，不存在则新建，最后将用户数据保存到redis，并且生成token作为redis的key，当我们校验用户是否登录时，会去携带着token进行访问，从redis中取出token对应的value，判断是否存在这个数据，如果没有则拦截，如果存在则将其保存到ThreadLocal中，并且放行。在这里插入图片描述

例如前端响应时存储服务端发送的token，请求时携带token访问：在这里插入图片描述

(3) 发送短信验证码

首先我们引入stringRedisTemplate，修改验证码存储方式，使用redis代替session存储验证码。

// 注入stringRedisTemplate @Resource private StringRedisTemplate stringRedisTemplate; @Override public Result sendCode(String phone) { //1.使用封装工具类检查手机号格式是否正确 if (RegexUtils.isPhoneInvalid(phone)) { //如果手机号格式不正确返回错误信息 return Result.fail("手机号格式不正确"); } //2.使用hutool随机生成验证码 String code = RandomUtil.randomNumbers(6); //3.保存验证码到redis中,设置过期时间 stringRedisTemplate.opsForValue().set(LOGIN_CODE_KEY + phone, code, LOGIN_CODE_TTL, TimeUnit.MINUTES); //4.发送验证码 log.debug("成功发送验证码：{}", code); return Result.ok(); }

需要注意的是，我们需要为key设置一个有效期，我们常常能看到接收的短信后面有这样一句话（5分钟内有效），这便可依靠过期时间来实现。此外，由于redis默认永久存储，当我们存储的无效数据越来越多时，便极大的浪费了我们的内存空间。

(4) 短信验证码登录、注册

此处需要修改的地方相对来说多一点，我们需要从redis中获取验证码，保存用户信息到redis,并且需要生成token并返回给前端

// 注入stringRedisTemplate @Resource private StringRedisTemplate stringRedisTemplate; @Override public Result login(LoginFormDTO loginForm, HttpSession session) { // 1.校验手机号 String phone = loginForm.getPhone(); if (RegexUtils.isPhoneInvalid(phone)) { // 2.如果不符合，返回错误信息 return Result.fail("手机号格式错误！"); } // 3.从redis获取验证码并校验 String cacheCode = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY + phone); String code = loginForm.getCode(); if (cacheCode == null || !cacheCode.equals(code)) { // 不一致，报错 return Result.fail("验证码错误"); } // 4.一致，根据手机号查询用户 select * from tb_user where phone = ? User user = query().eq("phone", phone).one(); // 5.判断用户是否存在 if (user == null) { // 6.不存在，创建新用户并保存 user = new User(); user.setPhone(phone); user.setNickName("user_" + RandomUtil.randomString(10)); this.save(user); } // 7.保存用户信息到 redis中 // 7.1.使用UUID随机生成token，作为登录令牌 String token = UUID.randomUUID().toString(true); // 7.2.1 去除User对象敏感信息 UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class); // 7.2.2 使用hutool工具包，将User对象转为HashMap存储 Map userMap = BeanUtil.beanToMap(userDTO, new HashMap(), CopyOptions.create() .setIgnoreNullValue(true) .setFieldValueEditor((fieldName, fieldValue) -> fieldValue.toString())); // 7.3.存储token String tokenKey = LOGIN_USER_KEY + token; stringRedisTemplate.opsForHash().putAll(tokenKey, userMap); // 7.4.设置token有效期 stringRedisTemplate.expire(tokenKey, LOGIN_USER_TTL, TimeUnit.MINUTES); // 8.返回token return Result.ok(token); }

如此我们便实现了短信验证码登录功能在这里插入图片描述

(5) 检查刷新登录状态

问题来了，我们不可能等设置过期时间30分钟到了直接将玩得正嗨的用户强行踢下线吧？正常的是，当用户超过30分钟不操作，我们才应该移除token，为此，在用户进行操作时，我们应当时刻刷新Token的有效期，以此保存用户的登录状态。同样，我们不可能在每个请求接口中都手动刷新一次token吧？由此，我们还是可以选择在拦截器中进行相关操作~ 在这里插入图片描述

登录拦截器代码：

public class LoginInterceptor implements HandlerInterceptor { //手动创建，不是spring容器管理的类 private StringRedisTemplate stringRedisTemplate; public LoginInterceptor(StringRedisTemplate stringRedisTemplate) { this.stringRedisTemplate = stringRedisTemplate; } @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { //获取请求头中的token String token = request.getHeader("authorization"); if (StrUtil.isBlank(token)) { //2.如果不存返回状态码401(未授权) response.setStatus(401); return false; } //1.从redis中获取用户 String tokenKey = LOGIN_USER_KEY + token; Map entries = stringRedisTemplate.opsForHash().entries(tokenKey); // 2. 判断是否为空 if (entries.isEmpty()) { //2.判断用户是否存在,如果不存返回状态码401(未授权) response.setStatus(401); return false; } //3.使用hutool操作，如果存在转换为UserDTO，并放行并保存到ThreadLocal UserDTO user = BeanUtil.fillBeanWithMap(entries, new UserDTO(), false); UserHolder.saveUser(user); //4.刷新token有效期 stringRedisTemplate.expire(tokenKey, LOGIN_USER_TTL, TimeUnit.MINUTES); return true; } }

需要自己通过配置类手动注入stringRedisTemplate:

@Configuration public class MvcConfig implements WebMvcConfigurer { @Resource private StringRedisTemplate stringRedisTemplate; @Override public void addInterceptors(InterceptorRegistry registry) { //登录拦截器 registry.addInterceptor(new LoginInterceptor(stringRedisTemplate)) .excludePathPatterns( "/shop/**", "/voucher/**", "/shop-type/**", "/upload/**", "/blog/hot", "/user/code", "/user/login" ).order(1); } } (6) 刷新登录状态优化

分析：

在上述方案中，他确实可以使用对应路径的拦截，同时刷新登录token令牌的存活时间，但是现在这个拦截器他只是拦截需要被拦截的路径，假设当前用户访问了一些不需要拦截的路径，那么这个拦截器就不会生效，所以此时令牌刷新的动作实际上就不会执行，所以上述方案存在一些问题。

优化：

既然之前的拦截器无法对不需要拦截的路径生效，那么我们可以再添加一个拦截器，在第一个拦截器中拦截所有的路径，进行相关校验，同时刷新令牌，因为第一个拦截器有了threadLocal的数据，所以此时第二个拦截器只需要判断拦截器中的user对象是否存在即可，完成整体刷新功能。在这里插入图片描述

在第一个拦截器RefreshTokenInterceptor中：

public class RefreshTokenInterceptor implements HandlerInterceptor { private StringRedisTemplate stringRedisTemplate; public RefreshTokenInterceptor(StringRedisTemplate stringRedisTemplate) { this.stringRedisTemplate = stringRedisTemplate; } @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 1.获取请求头中的token String token = request.getHeader("authorization"); if (StrUtil.isBlank(token)) { return true; } // 2.基于TOKEN获取redis中的用户 String key = LOGIN_USER_KEY + token; Map userMap = stringRedisTemplate.opsForHash().entries(key); // 3.判断用户是否存在 if (userMap.isEmpty()) { return true; } // 5.将查询到的hash数据转为UserDTO UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false); // 6.存在，保存用户信息到 ThreadLocal UserHolder.saveUser(userDTO); // 7.刷新token有效期 stringRedisTemplate.expire(key, LOGIN_USER_TTL, TimeUnit.MINUTES); // 8.放行 return true; } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { // 移除用户 UserHolder.removeUser(); } }

在第二个拦截器LoginInterceptor中：

public class LoginInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 1.判断是否需要拦截（ThreadLocal中是否有用户） if (UserHolder.getUser() == null) { // 没有，需要拦截，设置状态码 response.setStatus(401); // 拦截 return false; } // 有用户，则放行 return true; } }

注意：此处同样需要我们手动注入stringRedisTemplate

@Configuration public class MvcConfig implements WebMvcConfigurer { @Resource private StringRedisTemplate stringRedisTemplate; @Override public void addInterceptors(InterceptorRegistry registry) { //登录拦截器 registry.addInterceptor(new LoginInterceptor()) .excludePathPatterns( "/shop/**", "/voucher/**", "/shop-type/**", "/upload/**", "/blog/hot", "/user/code", "/user/login" ).order(1); //Token刷新拦截器 registry.addInterceptor(new RefreshTokenInterceptor(stringRedisTemplate)) .addPathPatterns("/**").order(0); } }

如此便算基本完成了功能

【本文地址】

公司简介

联系我们