模板网站可以做seo吗,网站后台无法上传照片,哈尔滨住房城乡建设局网站,挂别人公司做网站可以吗#x1f697;Redis应用学习第一站~ #x1f6a9;本文已收录至专栏#xff1a;数据库学习之旅 #x1f44d;希望您能有所收获 #x1f449;相关推荐#xff1a;使用短信服务发送手机验证码进行安全校验 一.引入
在开发项目过程中#xff0c;我们常常能碰到需要登录注… Redis应用学习·第一站~ 本文已收录至专栏数据库学习之旅 希望您能有所收获 相关推荐使用短信服务发送手机验证码进行安全校验 一.引入
在开发项目过程中我们常常能碰到需要登录注册的场景而使用短信验证码或邮箱验证码进行验证又是我们常见的选择之一。Session在其中起到了很重要的用处在单体项目时可能刚好够用但在集群环境下却容易碰到一些小问题。本篇便是介绍基于Session实现登录的流程然后引出集群的Session的共享问题最后一起看看如何使用Redis解决Session的问题。
二.基于Session实现登录流程
(1) 整体流程 接下来让我们一起按照流程图逐一实现…
(2) 发送短信验证码 用户在提交手机号后会校验手机号是否合法如果不合法则要求用户重新输入手机号如果手机号合法后台此时生成对应的验证码同时将验证码进行保存然后再通过短信的方式将验证码发送给用户
// 在controller中调用此方法进行发生验证码Overridepublic Result sendCode(String phone, HttpSession session) {// 1.使用自定义正则表达式工具包校验手机号if (RegexUtils.isPhoneInvalid(phone)) {// 2.如果不符合返回错误信息return Result.fail(手机号格式错误);}// 3.符合使用hutool工具类随机生成验证码String code RandomUtil.randomNumbers(6);// 4.保存验证码到 sessionsession.setAttribute(code,code);// 5.模拟发送验证码可根据需要自行实现真实功能log.debug(发送短信验证码成功验证码{}, code);// 返回okreturn Result.ok();}(3) 短信验证码登录、注册 用户将验证码和手机号进行输入后台从session中拿到当前验证码然后和用户输入的验证码进行校验如果不一致则无法通过校验如果一致则后台- 根据手机号查询用户如果用户不存在则为用户创建账号信息保存到数据库无论是否存在都会将用户信息保存到session中方便后续获得当前登录信息.
// 在controller中调用此方法进行发生登录验证 // 不能相信前端传过来的请求参数// 后端需要再次进行检验Overridepublic Result login(LoginFormDTO loginForm, HttpSession session) {// 1.根据正则工具类校验手机号String phone loginForm.getPhone();if (RegexUtils.isPhoneInvalid(phone)) {// 2.如果不符合返回错误信息return Result.fail(手机号格式错误);}// 3.校验验证码Object cacheCode session.getAttribute(code);String code loginForm.getCode();if(cacheCode null || !cacheCode.toString().equals(code)){//3.不一致报错return Result.fail(验证码错误);}//一致根据手机号(数据库手机号设置了唯一)查询用户 // select * from tb_user where phone ?User user query().eq(phone, phone).one();//5.判断用户是否存在if(user null){//不存在则使用封装的方法创建user new User();user.setPhone(phone);user.setNickName(user_ RandomUtil.randomString(10));this.save(user);}//7.将用户信息进行脱敏之后保存用户信息到session中// 防止将密码等敏感信息暴露在浏览器中session.setAttribute(user, BeanUtils.copyProperties(user,UserDTO.class));return Result.ok();}如果不进行脱敏我们通过debug功能可以观察到用户的全部信息都在这样极其不安全所以我们应当在返回用户信息之前将用户的敏感信息进行隐藏核心思路就是书写一个UserDto对象这个UserDto对象不保存敏感信息了我们在返回前将有用户敏感信息的User对象转化成没有敏感信息的UserDto对象那么就能够避免这个尴尬的问题了。
(4) 校验登录状态
用户在请求服务时候会从cookie中携带者JsessionId到后台后台通过JsessionId从session中拿到用户信息如果没有session信息则进行拦截如果有session信息则将用户信息保存到threadLocal中并且放行。 每个用户其实对应都是去找tomcat线程池中的一个线程来完成工作的 使用完成后再进行回收既然每个请求都是独立的所以在每个用户去访问我们的工程时我们可以使用threadlocal来做到线程隔离每个线程操作自己的一份数据。在threadLocal中无论是他的put方法和他的get方法 都是先从获得当前用户的线程然后从线程中取出线程的成员变量map只要线程不一样map就不一样所以可以通过这种方式来做到线程隔离。
public class UserHolder {private static final ThreadLocalUserDTO tl new ThreadLocal();public static void saveUser(UserDTO user){tl.set(user);}public static UserDTO getUser(){return tl.get();}public static void removeUser(){tl.remove();}
}当我们的服务越来越多时我们不可能在每个服务中都写上一大堆相同的代码进行判断因此我们可以通过配置拦截器统一进行校验。 配置拦截器
public class LoginInterceptor implements HandlerInterceptor {Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//1.获取sessionHttpSession session request.getSession();//2.获取session中的用户Object user session.getAttribute(user);//3.判断用户是否存在if(user null){//4.不存在拦截返回401状态码response.setStatus(401);return false;}//5.存在保存用户信息到手动封装的Threadlocal中UserHolder.saveUser((UserDTO)user);//6.放行return true;}
}编写配置类使拦截器生效
Configuration
public class MvcConfig implements WebMvcConfigurer {Overridepublic void addInterceptors(InterceptorRegistry registry) {// 登录拦截器registry.addInterceptor(new LoginInterceptor())// 设置不需要拦截的路径.excludePathPatterns(/shop/**,/voucher/**,/shop-type/**,/upload/**,/blog/hot,/user/code,/user/login).order(1);}
}返回当前用户登录信息
GetMapping(/me)
public Result me() {// 获取当前登录的用户并返回UserDTO user UserHolder.getUser();return Result.ok(user);
}至此我们便实现了基础Session实现登录的功能~
三.session共享问题分析
session共享问题多台Tomcat并不共享session存储空间在集群部署时当请求切换到不同tomcat服务时导致数据丢失的问题。
核心思路分析
每个tomcat中都有一份属于自己的session,假设用户第一次访问第一台tomcat并且把自己的信息存放到第一台服务器的session中但是第二次这个用户访问到了第二台tomcat那么在第二台服务器上肯定没有第一台服务器存放的session所以此时整个登录拦截功能就会出现问题无法获取到用户的登录信息我们能如何解决这个问题呢
早期的方案是session拷贝就是说虽然每个tomcat上都有不同的session但是每当任意一台服务器的session修改时都会同步给其他的Tomcat服务器的session这样的话就可以实现session的共享了
但是这种方案具有两个大问题: 每台服务器中都有完整的一份session数据服务器压力过大。 session拷贝数据时可能会出现延迟
所以后来采用的方案都是基于redis来完成我们把session换成redisredis数据本身就是共享的就可以避免session共享的问题了
四.基于Redis实现共享session登录
(1) 键值结构设计
首先我们要思考一下利用redis来存储数据那么到底使用哪种结构呢由于存入的数据比较简单我们可以考虑使用String或者是使用哈希如果使用String他的value格式会多占用一点空间如果使用哈希则他的value中只会存储他数据本身如果不是特别在意内存其实使用String就可以啦。
关于key的处理由于session是每个用户都有自己的session但是redis的key是共享的因此在设计这个key的时候我们需要满足两点 key要具有唯一性 key要方便携带
由此在上述示例中 发送短信验证码时我们不能使用code作为key存储因为当多个用户获取时由于code唯一value会被相互覆盖。此处我们可以选择手机号作为key。 进行登录校验存储用户信息时如果我们也采用手机号作为key来存储当然是可以的但是如果把这样的敏感数据存储到redis中并且从页面中带过来毕竟不太安全所以我们在后台生成一个随机串token然后让前端带来这个token就能完成我们的整体逻辑。
(2) 整体流程
下图流程和上述流程基本一致只是验证码的存储与获取方式换成了Redis。
此处流程也基本一致只是存储方式有些许改变。当注册完成后用户去登录会去校验用户提交的手机号和验证码是否一致。如果一致则根据手机号查询用户信息不存在则新建最后将用户数据保存到redis并且生成token作为redis的key当我们校验用户是否登录时会去携带着token进行访问从redis中取出token对应的value判断是否存在这个数据如果没有则拦截如果存在则将其保存到ThreadLocal中并且放行。
例如前端响应时存储服务端发送的token请求时携带token访问
(3) 发送短信验证码
首先我们引入stringRedisTemplate修改验证码存储方式使用redis代替session存储验证码。
// 注入stringRedisTemplate
Resource
private StringRedisTemplate stringRedisTemplate;Override
public Result sendCode(String phone) {//1.使用封装工具类检查手机号格式是否正确if (RegexUtils.isPhoneInvalid(phone)) {//如果手机号格式不正确返回错误信息return Result.fail(手机号格式不正确);}//2.使用hutool随机生成验证码String code RandomUtil.randomNumbers(6);//3.保存验证码到redis中,设置过期时间stringRedisTemplate.opsForValue().set(LOGIN_CODE_KEY phone, code, LOGIN_CODE_TTL, TimeUnit.MINUTES);//4.发送验证码log.debug(成功发送验证码{}, code);return Result.ok();
}需要注意的是我们需要为key设置一个有效期我们常常能看到接收的短信后面有这样一句话5分钟内有效这便可依靠过期时间来实现。此外由于redis默认永久存储当我们存储的无效数据越来越多时便极大的浪费了我们的内存空间。
(4) 短信验证码登录、注册
此处需要修改的地方相对来说多一点我们需要从redis中获取验证码保存用户信息到redis,并且需要生成token并返回给前端
// 注入stringRedisTemplate
Resource
private StringRedisTemplate stringRedisTemplate;Override
public Result login(LoginFormDTO loginForm, HttpSession session) {// 1.校验手机号String phone loginForm.getPhone();if (RegexUtils.isPhoneInvalid(phone)) {// 2.如果不符合返回错误信息return Result.fail(手机号格式错误);}// 3.从redis获取验证码并校验String cacheCode stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY phone);String code loginForm.getCode();if (cacheCode null || !cacheCode.equals(code)) {// 不一致报错return Result.fail(验证码错误);}// 4.一致根据手机号查询用户 select * from tb_user where phone ?User user query().eq(phone, phone).one();// 5.判断用户是否存在if (user null) {// 6.不存在创建新用户并保存user new User();user.setPhone(phone);user.setNickName(user_ RandomUtil.randomString(10));this.save(user);}// 7.保存用户信息到 redis中// 7.1.使用UUID随机生成token作为登录令牌String token UUID.randomUUID().toString(true);// 7.2.1 去除User对象敏感信息UserDTO userDTO BeanUtil.copyProperties(user, UserDTO.class);// 7.2.2 使用hutool工具包将User对象转为HashMap存储MapString, Object userMap BeanUtil.beanToMap(userDTO, new HashMap(),CopyOptions.create().setIgnoreNullValue(true).setFieldValueEditor((fieldName, fieldValue) - fieldValue.toString()));// 7.3.存储tokenString tokenKey LOGIN_USER_KEY token;stringRedisTemplate.opsForHash().putAll(tokenKey, userMap);// 7.4.设置token有效期stringRedisTemplate.expire(tokenKey, LOGIN_USER_TTL, TimeUnit.MINUTES);// 8.返回tokenreturn Result.ok(token);
}如此我们便实现了短信验证码登录功能
(5) 检查刷新登录状态
问题来了我们不可能等设置过期时间30分钟到了直接将玩得正嗨的用户强行踢下线吧正常的是当用户超过30分钟不操作我们才应该移除token为此在用户进行操作时我们应当时刻刷新Token的有效期以此保存用户的登录状态。同样我们不可能在每个请求接口中都手动刷新一次token吧由此我们还是可以选择在拦截器中进行相关操作~
登录拦截器代码
public class LoginInterceptor implements HandlerInterceptor {//手动创建不是spring容器管理的类private StringRedisTemplate stringRedisTemplate;public LoginInterceptor(StringRedisTemplate stringRedisTemplate) {this.stringRedisTemplate stringRedisTemplate;}Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//获取请求头中的tokenString token request.getHeader(authorization);if (StrUtil.isBlank(token)) {//2.如果不存返回状态码401(未授权)response.setStatus(401);return false;}//1.从redis中获取用户String tokenKey LOGIN_USER_KEY token;MapObject, Object entries stringRedisTemplate.opsForHash().entries(tokenKey);// 2. 判断是否为空if (entries.isEmpty()) {//2.判断用户是否存在,如果不存返回状态码401(未授权)response.setStatus(401);return false;}//3.使用hutool操作如果存在转换为UserDTO并放行并保存到ThreadLocalUserDTO user BeanUtil.fillBeanWithMap(entries, new UserDTO(), false);UserHolder.saveUser(user);//4.刷新token有效期stringRedisTemplate.expire(tokenKey, LOGIN_USER_TTL, TimeUnit.MINUTES);return true;}
}需要自己通过配置类手动注入stringRedisTemplate:
Configuration
public class MvcConfig implements WebMvcConfigurer {Resourceprivate StringRedisTemplate stringRedisTemplate;Overridepublic void addInterceptors(InterceptorRegistry registry) {//登录拦截器registry.addInterceptor(new LoginInterceptor(stringRedisTemplate)).excludePathPatterns(/shop/**,/voucher/**,/shop-type/**,/upload/**,/blog/hot,/user/code,/user/login).order(1);}
}
(6) 刷新登录状态优化
分析
在上述方案中他确实可以使用对应路径的拦截同时刷新登录token令牌的存活时间但是现在这个拦截器他只是拦截需要被拦截的路径假设当前用户访问了一些不需要拦截的路径那么这个拦截器就不会生效所以此时令牌刷新的动作实际上就不会执行所以上述方案存在一些问题。
优化
既然之前的拦截器无法对不需要拦截的路径生效那么我们可以再添加一个拦截器在第一个拦截器中拦截所有的路径进行相关校验同时刷新令牌因为第一个拦截器有了threadLocal的数据所以此时第二个拦截器只需要判断拦截器中的user对象是否存在即可完成整体刷新功能。
在第一个拦截器RefreshTokenInterceptor中
public class RefreshTokenInterceptor implements HandlerInterceptor {private StringRedisTemplate stringRedisTemplate;public RefreshTokenInterceptor(StringRedisTemplate stringRedisTemplate) {this.stringRedisTemplate stringRedisTemplate;}Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 1.获取请求头中的tokenString token request.getHeader(authorization);if (StrUtil.isBlank(token)) {return true;}// 2.基于TOKEN获取redis中的用户String key LOGIN_USER_KEY token;MapObject, Object userMap stringRedisTemplate.opsForHash().entries(key);// 3.判断用户是否存在if (userMap.isEmpty()) {return true;}// 5.将查询到的hash数据转为UserDTOUserDTO userDTO BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);// 6.存在保存用户信息到 ThreadLocalUserHolder.saveUser(userDTO);// 7.刷新token有效期stringRedisTemplate.expire(key, LOGIN_USER_TTL, TimeUnit.MINUTES);// 8.放行return true;}Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {// 移除用户UserHolder.removeUser();}
}
在第二个拦截器LoginInterceptor中
public class LoginInterceptor implements HandlerInterceptor {Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 1.判断是否需要拦截ThreadLocal中是否有用户if (UserHolder.getUser() null) {// 没有需要拦截设置状态码response.setStatus(401);// 拦截return false;}// 有用户则放行return true;}
}注意此处同样需要我们手动注入stringRedisTemplate
Configuration
public class MvcConfig implements WebMvcConfigurer {Resourceprivate StringRedisTemplate stringRedisTemplate;Overridepublic void addInterceptors(InterceptorRegistry registry) {//登录拦截器registry.addInterceptor(new LoginInterceptor()).excludePathPatterns(/shop/**,/voucher/**,/shop-type/**,/upload/**,/blog/hot,/user/code,/user/login).order(1);//Token刷新拦截器registry.addInterceptor(new RefreshTokenInterceptor(stringRedisTemplate)).addPathPatterns(/**).order(0);}
}如此便算基本完成了功能
