一、分布式会话
1、什么是会话
会话Session代表的是客户端与服务器的一次交互过程,这个过程可以是连续也可以是时断时续的。曾经的Servlet时代(jsp),一旦用户与服务端交互,服务器tomcat就会为用户创建一个session,同时前端会有一个jsessionid,每次交互都会携带。如此一来,服务器只要在接到用户请求时候,就可以拿到jsessionid,并根据这个ID在内存中找到对应的会话session,当拿到session会话后,那么我们就可以操作会话了。会话存活期间,我们就能认为用户一直处于正在使用着网站的状态,一旦session超期过时,那么就可以认为用户已经离开网站,停止交互了。用户的身份信息,我们也是通过session来判断的,在session中可以保存不同用户的信息。
2、无状态会话
HTTP请求是无状态的,用户向服务端发起多个请求,服务端并不会知道这多次请求都是来自同一用户,这个就是无状态的。cookie的出现就是为了有状态的记录用户。
常见的,ios与服务端交互,安卓与服务端交互,前后端分离,小程序与服务端交互,他们都是通过发起http来调用接口数据的,每次交互服务端都不会拿到客户端的状态,但是我们可以通过手段去处理,比如每次用户发起请求的时候携带一个userid或者user-token,如此一来,就能让服务端根据用户id或token来获得相应的数据。每个用户的下一次请求都能被服务端识别来自同一个用户。
3、有状态会话
Tomcat中的会话,就是有状态的,一旦用户和服务端交互,就有会话,会话保存了用户的信息,这样用户就“有状态”了,服务端会和每个客户端都保持着这样的一层关系,这个由容器来管理(也就是tomcat),这个session会话是保存到内存空间里的,如此一来,当不同的用户访问服务端,那么就能通过会话知道谁是谁了。tomcat会话的出现也是为了让http请求变的有状态。如果用户不再和服务端交互,那么会话超时则消失,结束了他的生命周期。如此一来,每个用户其实都会有一个会话被维护,这就是有状态会话。
场景:在传统项目或者jsp项目中是使用的最多的session都是有状态的,session的存在就是为了弥补http的无状态。
4.动静分离会话
用户请求服务端,由于动静分离,前端发起http请求,不会携带任何状态,当用户第一次请求以后,我们手动设置一个token,作为用户会话,放入redis中,如此作为redis-session,并且这个token设置后放入前端cookie中(app或小程序可以放入本地缓存),如此后续交互过程中,前端只需要传递token给后端,后端就能识别这个用户请求来自谁了。
//生成用户token,存入redis会话
public static final String REDIS_USER_TOKEN = "redis_user_token"; String uniqueToken=UUID.randomUUID().toSting().trim(); redisOperator.set(REDIS_USER_TOKEN+":"+userId,uniqueToken) UsersVO.setUserUniqueToken(uniqueToken) CookieUtils.setCookie(request,response,"user",JsonUtils.objectToJson(usersVO,true);
5、集群分布式系统会话
集群或分布式系统本质都是多个系统,假设这个里有两个服务器节点,分别是AB系统,他们可以是集群,也可以是分布式系统,一开始用户和A系统交互,那么这个时候的用户状态,我们可以保存到redis中,作为A系统的会话信息,随后用户的请求进入到了B系统,那么B系统中的会话我也同样和redis关联,如此AB系统的session就统一了。当然cookie是会随着用户的访问携带过来的。那么这个其实就是分布式会话,通过redis来保存用户的状态。
二、拦截器
1、用户发起请求
2、新建用户token拦截器类
/**
* false: 请求被拦截,被驳回,验证出现问题
* true: 请求在经过验证校验以后,是OK的,是可以放行的
*/
package com.imooc.controller.interceptor; import com.imooc.utils.IMOOCJSONResult; import com.imooc.utils.JsonUtils; import com.imooc.utils.RedisOperator; import org.apache.commons.lang3.StringUtils; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.io.OutputStream; public class UserTokenInterceptor implements HandlerInterceptor { @Autowired private RedisOperator redisOperator; public static final String REDIS_USER_TOKEN = "redis_user_token"; /** * 拦截请求,在访问controller调用之前 * @param request * @param response * @param handler * @return * @throws Exception */ @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // System.out.println("进入到拦截器,被拦截。。。"); String userId = request.getHeader("headerUserId"); String userToken = request.getHeader("headerUserToken"); if (StringUtils.isNotBlank(userId) && StringUtils.isNotBlank(userToken)) { String uniqueToken = redisOperator.get(REDIS_USER_TOKEN + ":" + userId); if (StringUtils.isBlank(uniqueToken)) { // System.out.println("请登录..."); returnErrorResponse(response, IMOOCJSONResult.errorMsg("请登录...")); return false; } else { if (!uniqueToken.equals(userToken)) { // System.out.println("账号在异地登录..."); returnErrorResponse(response, IMOOCJSONResult.errorMsg("账号在异地登录...")); return false; } } } else { // System.out.println("请登录..."); returnErrorResponse(response, IMOOCJSONResult.errorMsg("请登录...")); return false; } /** * false: 请求被拦截,被驳回,验证出现问题 * true: 请求在经过验证校验以后,是OK的,是可以放行的 */ return true; } public void returnErrorResponse(HttpServletResponse response, IMOOCJSONResult result) { OutputStream out = null; try { response.setCharacterEncoding("utf-8"); response.setContentType("text/json"); out = response.getOutputStream(); out.write(JsonUtils.objectToJson(result).getBytes("utf-8")); out.flush(); } catch (IOException e) { e.printStackTrace(); } finally { try { if (out != null) { out.close(); } } catch (IOException e) { e.printStackTrace(); } } } /** * 请求访问controller之后,渲染视图之前 * @param request * @param response * @param handler * @param modelAndView * @throws Exception */ @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { } /** * 请求访问controller之后,渲染视图之后 * @param request * @param response * @param handler * @param ex * @throws Exception */ @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { } }
3、在配置类注册
注册拦截器
public void addInterceptors(InterceptorRegistry registry)
package com.imooc.config; import com.imooc.controller.interceptor.UserTokenInterceptor; import org.springframework.boot.web.client.RestTemplateBuilder; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.client.RestTemplate; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebMvcConfig implements WebMvcConfigurer { // 实现静态资源的映射 @Override public void addResourceHandlers(ResourceHandlerRegistry registry) { registry.addResourceHandler("/**") .addResourceLocations("classpath:/META-INF/resources/") // 映射swagger2 .addResourceLocations("file:/workspaces/images/"); // 映射本地静态资源 } @Bean public RestTemplate restTemplate(RestTemplateBuilder builder) { return builder.build(); } @Bean public UserTokenInterceptor userTokenInterceptor() { return new UserTokenInterceptor(); } /** * 注册拦截器 * @param registry */ @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(userTokenInterceptor()) .addPathPatterns("/hello") .addPathPatterns("/shopcart/add") .addPathPatterns("/shopcart/del") .addPathPatterns("/address/list") .addPathPatterns("/address/add") .addPathPatterns("/address/update") .addPathPatterns("/address/setDefalut") .addPathPatterns("/address/delete") .addPathPatterns("/orders/*") .addPathPatterns("/center/*") .addPathPatterns("/userInfo/*") .addPathPatterns("/myorders/*") .addPathPatterns("/mycomments/*") .excludePathPatterns("/myorders/deliver") .excludePathPatterns("/orders/notifyMerchantOrderPaid"); WebMvcConfigurer.super.addInterceptors(registry); } }
三、单点登录
1、相同顶级域名的单点登录 SSO
1) Cookie+Redis实现SSO
(1)顶级域名www.callbin.com和*.callbin.com的cookie是可以被共享的
(2)二级域名自己独立的cookie是不能共享的,如music.callbin.com的cookie不能被mtv.callbin.com共享,两者互不影响,要共享必须设置为.callbin.com
(3)找到前端项目app.js,开启如下代码,设置对应域名 cookeDoamin:".callbin.com"
只要前端网页都在同一个顶级域名下,就能实现cookie与session的共享
2、不同顶级域名的单点登录
顶级域名不同,cookie无法实现共享
这里解决方案为CAS系统:Centrol Authentication Service,即中央认证服务。单独做一个服务,来进行认证管理。
/** * CAS的统一登录接口 * 目的: * 1. 登录后创建用户的全局会话 -> uniqueToken * 2. 创建用户全局门票,用以表示在CAS端是否登录 -> userTicket * 3. 创建用户的临时票据,用于回跳回传 -> tmpTicket */ @PostMapping("/doLogin") public String doLogin(String username, String password, String returnUrl, Model model, HttpServletRequest request, HttpServletResponse response) throws Exception { model.addAttribute("returnUrl", returnUrl); // 0. 判断用户名和密码必须不为空 if (StringUtils.isBlank(username) || StringUtils.isBlank(password)) { model.addAttribute("errmsg", "用户名或密码不能为空"); return "login"; } // 1. 实现登录 Users userResult = userService.queryUserForLogin(username, MD5Utils.getMD5Str(password)); if (userResult == null) { model.addAttribute("errmsg", "用户名或密码不正确"); return "login"; } // 2. 实现用户的redis会话 String uniqueToken = UUID.randomUUID().toString().trim(); UsersVO usersVO = new UsersVO(); BeanUtils.copyProperties(userResult, usersVO); usersVO.setUserUniqueToken(uniqueToken); redisOperator.set(REDIS_USER_TOKEN + ":" + userResult.getId(), JsonUtils.objectToJson(usersVO)); // 3. 生成ticket门票,全局门票,代表用户在CAS端登录过 String userTicket = UUID.randomUUID().toString().trim(); // 3.1 用户全局门票需要放入CAS端的cookie中 setCookie(COOKIE_USER_TICKET, userTicket, response); // 4. userTicket关联用户id,并且放入到redis中,代表这个用户有门票了,可以在各个景区游玩 redisOperator.set(REDIS_USER_TICKET + ":" + userTicket, userResult.getId()); // 5. 生成临时票据,回跳到调用端网站,是由CAS端所签发的一个一次性的临时ticket String tmpTicket = createTmpTicket(); /** * userTicket: 用于表示用户在CAS端的一个登录状态:已经登录 * tmpTicket: 用于颁发给用户进行一次性的验证的票据,有时效性 */ /** * 举例: * 我们去动物园玩耍,大门口买了一张统一的门票,这个就是CAS系统的全局门票和用户全局会话。 * 动物园里有一些小的景点,需要凭你的门票去领取一次性的票据,有了这张票据以后就能去一些小的景点游玩了。 * 这样的一个个的小景点其实就是我们这里所对应的一个个的站点。 * 当我们使用完毕这张临时票据以后,就需要销毁。 */ // return "login"; return "redirect:" + returnUrl + "?tmpTicket=" + tmpTicket; }
@PostMapping("/verifyTmpTicket")
@ResponseBody
public IMOOCJSONResult verifyTmpTicket(String tmpTicket,
HttpServletRequest request,
HttpServletResponse response) throws Exception {
// 使用一次性临时票据来验证用户是否登录,如果登录过,把用户会话信息返回给站点
// 使用完毕后,需要销毁临时票据
String tmpTicketValue = redisOperator.get(REDIS_TMP_TICKET + ":" + tmpTicket);
if (StringUtils.isBlank(tmpTicketValue)) {
return IMOOCJSONResult.errorUserTicket("用户票据异常");
}
// 0. 如果临时票据OK,则需要销毁,并且拿到CAS端cookie中的全局userTicket,以此再获取用户会话
if (!tmpTicketValue.equals(MD5Utils.getMD5Str(tmpTicket))) {
return IMOOCJSONResult.errorUserTicket("用户票据异常");
} else {
// 销毁临时票据
redisOperator.del(REDIS_TMP_TICKET + ":" + tmpTicket);
}
// 1. 验证并且获取用户的userTicket
String userTicket = getCookie(request, COOKIE_USER_TICKET);
String userId = redisOperator.get(REDIS_USER_TICKET + ":" + userTicket);
if (StringUtils.isBlank(userId)) {
return IMOOCJSONResult.errorUserTicket("用户票据异常");
}
// 2. 验证门票对应的user会话是否存在
String userRedis = redisOperator.get(REDIS_USER_TOKEN + ":" + userId);
if (StringUtils.isBlank(userRedis)) {
return IMOOCJSONResult.errorUserTicket("用户票据异常");
}
// 验证成功,返回OK,携带用户会话
return IMOOCJSONResult.ok(JsonUtils.jsonToPojo(userRedis, UsersVO.class));
}
全部代码
package com.imooc.controller; import com.imooc.pojo.Users; import com.imooc.pojo.vo.UsersVO; import com.imooc.service.UserService; import com.imooc.utils.IMOOCJSONResult; import com.imooc.utils.JsonUtils; import com.imooc.utils.MD5Utils; import com.imooc.utils.RedisOperator; import org.apache.commons.lang3.StringUtils; import org.springframework.beans.BeanUtils; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Controller; import org.springframework.ui.Model; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.ResponseBody; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.util.UUID; @Controller public class SSOController { @Autowired private UserService userService; @Autowired private RedisOperator redisOperator; public static final String REDIS_USER_TOKEN = "redis_user_token"; public static final String REDIS_USER_TICKET = "redis_user_ticket"; public static final String REDIS_TMP_TICKET = "redis_tmp_ticket"; public static final String COOKIE_USER_TICKET = "cookie_user_ticket"; @GetMapping("/login") public String login(String returnUrl, Model model, HttpServletRequest request, HttpServletResponse response) { model.addAttribute("returnUrl", returnUrl); // 1. 获取userTicket门票,如果cookie中能够获取到,证明用户登录过,此时签发一个一次性的临时票据并且回跳 String userTicket = getCookie(request, COOKIE_USER_TICKET); boolean isVerified = verifyUserTicket(userTicket); if (isVerified) { String tmpTicket = createTmpTicket(); return "redirect:" + returnUrl + "?tmpTicket=" + tmpTicket; } // 2. 用户从未登录过,第一次进入则跳转到CAS的统一登录页面 return "login"; } /** * 校验CAS全局用户门票 * @param userTicket * @return */ private boolean verifyUserTicket(String userTicket) { // 0. 验证CAS门票不能为空 if (StringUtils.isBlank(userTicket)) { return false; } // 1. 验证CAS门票是否有效 String userId = redisOperator.get(REDIS_USER_TICKET + ":" + userTicket); if (StringUtils.isBlank(userId)) { return false; } // 2. 验证门票对应的user会话是否存在 String userRedis = redisOperator.get(REDIS_USER_TOKEN + ":" + userId); if (StringUtils.isBlank(userRedis)) { return false; } return true; } /** * CAS的统一登录接口 * 目的: * 1. 登录后创建用户的全局会话 -> uniqueToken * 2. 创建用户全局门票,用以表示在CAS端是否登录 -> userTicket * 3. 创建用户的临时票据,用于回跳回传 -> tmpTicket */ @PostMapping("/doLogin") public String doLogin(String username, String password, String returnUrl, Model model, HttpServletRequest request, HttpServletResponse response) throws Exception { model.addAttribute("returnUrl", returnUrl); // 0. 判断用户名和密码必须不为空 if (StringUtils.isBlank(username) || StringUtils.isBlank(password)) { model.addAttribute("errmsg", "用户名或密码不能为空"); return "login"; } // 1. 实现登录 Users userResult = userService.queryUserForLogin(username, MD5Utils.getMD5Str(password)); if (userResult == null) { model.addAttribute("errmsg", "用户名或密码不正确"); return "login"; } // 2. 实现用户的redis会话 String uniqueToken = UUID.randomUUID().toString().trim(); UsersVO usersVO = new UsersVO(); BeanUtils.copyProperties(userResult, usersVO); usersVO.setUserUniqueToken(uniqueToken); redisOperator.set(REDIS_USER_TOKEN + ":" + userResult.getId(), JsonUtils.objectToJson(usersVO)); // 3. 生成ticket门票,全局门票,代表用户在CAS端登录过 String userTicket = UUID.randomUUID().toString().trim(); // 3.1 用户全局门票需要放入CAS端的cookie中 setCookie(COOKIE_USER_TICKET, userTicket, response); // 4. userTicket关联用户id,并且放入到redis中,代表这个用户有门票了,可以在各个景区游玩 redisOperator.set(REDIS_USER_TICKET + ":" + userTicket, userResult.getId()); // 5. 生成临时票据,回跳到调用端网站,是由CAS端所签发的一个一次性的临时ticket String tmpTicket = createTmpTicket(); /** * userTicket: 用于表示用户在CAS端的一个登录状态:已经登录 * tmpTicket: 用于颁发给用户进行一次性的验证的票据,有时效性 */ /** * 举例: * 我们去动物园玩耍,大门口买了一张统一的门票,这个就是CAS系统的全局门票和用户全局会话。 * 动物园里有一些小的景点,需要凭你的门票去领取一次性的票据,有了这张票据以后就能去一些小的景点游玩了。 * 这样的一个个的小景点其实就是我们这里所对应的一个个的站点。 * 当我们使用完毕这张临时票据以后,就需要销毁。 */ // return "login"; return "redirect:" + returnUrl + "?tmpTicket=" + tmpTicket; } @PostMapping("/verifyTmpTicket") @ResponseBody public IMOOCJSONResult verifyTmpTicket(String tmpTicket, HttpServletRequest request, HttpServletResponse response) throws Exception { // 使用一次性临时票据来验证用户是否登录,如果登录过,把用户会话信息返回给站点 // 使用完毕后,需要销毁临时票据 String tmpTicketValue = redisOperator.get(REDIS_TMP_TICKET + ":" + tmpTicket); if (StringUtils.isBlank(tmpTicketValue)) { return IMOOCJSONResult.errorUserTicket("用户票据异常"); } // 0. 如果临时票据OK,则需要销毁,并且拿到CAS端cookie中的全局userTicket,以此再获取用户会话 if (!tmpTicketValue.equals(MD5Utils.getMD5Str(tmpTicket))) { return IMOOCJSONResult.errorUserTicket("用户票据异常"); } else { // 销毁临时票据 redisOperator.del(REDIS_TMP_TICKET + ":" + tmpTicket); } // 1. 验证并且获取用户的userTicket String userTicket = getCookie(request, COOKIE_USER_TICKET); String userId = redisOperator.get(REDIS_USER_TICKET + ":" + userTicket); if (StringUtils.isBlank(userId)) { return IMOOCJSONResult.errorUserTicket("用户票据异常"); } // 2. 验证门票对应的user会话是否存在 String userRedis = redisOperator.get(REDIS_USER_TOKEN + ":" + userId); if (StringUtils.isBlank(userRedis)) { return IMOOCJSONResult.errorUserTicket("用户票据异常"); } // 验证成功,返回OK,携带用户会话 return IMOOCJSONResult.ok(JsonUtils.jsonToPojo(userRedis, UsersVO.class)); } @PostMapping("/logout") @ResponseBody public IMOOCJSONResult logout(String userId, HttpServletRequest request, HttpServletResponse response) throws Exception { // 0. 获取CAS中的用户门票 String userTicket = getCookie(request, COOKIE_USER_TICKET); // 1. 清除userTicket票据,redis/cookie deleteCookie(COOKIE_USER_TICKET, response); redisOperator.del(REDIS_USER_TICKET + ":" + userTicket); // 2. 清除用户全局会话(分布式会话) redisOperator.del(REDIS_USER_TOKEN + ":" + userId); return IMOOCJSONResult.ok(); } /** * 创建临时票据 * @return */ private String createTmpTicket() { String tmpTicket = UUID.randomUUID().toString().trim(); try { redisOperator.set(REDIS_TMP_TICKET + ":" + tmpTicket, MD5Utils.getMD5Str(tmpTicket), 600); } catch (Exception e) { e.printStackTrace(); } return tmpTicket; } private void setCookie(String key, String val, HttpServletResponse response) { Cookie cookie = new Cookie(key, val); cookie.setDomain("sso.com"); cookie.setPath("/"); response.addCookie(cookie); } private void deleteCookie(String key, HttpServletResponse response) { Cookie cookie = new Cookie(key, null); cookie.setDomain("sso.com"); cookie.setPath("/"); cookie.setMaxAge(-1); response.addCookie(cookie); } private String getCookie(HttpServletRequest request, String key) { Cookie[] cookieList = request.getCookies(); if (cookieList == null || StringUtils.isBlank(key)) { return null; } String cookieValue = null; for (int i = 0 ; i < cookieList.length; i ++) { if (cookieList[i].getName().equals(key)) { cookieValue = cookieList[i].getValue(); break; } } return cookieValue; } }
时序图
