Loading

二、Redis企业实战 - 短信登录

Redis企业实战 - 短信登录

软件架构

基于Session实现登录流程

发送验证码

核心代码示例
    @Override
   public Result sendCode(String phone, HttpSession session) {
       // 1.校验手机号
       if (RegexUtils.isPhoneInvalid(phone)) {
           // 2.如果不符合,返回错误信息
           return Result.fail("手机号格式错误!");
      }
       // 3.符合,生成验证码
       String code = RandomUtil.randomNumbers(6);

       // 4.保存验证码到 session
       session.setAttribute("code",code);
       // 5.发送验证码
       log.debug("发送短信验证码成功,验证码:{}", code);
       // 返回ok
       return Result.ok();
  }
短信验证码登录、注册

核心代码示例
    @Override
   public Result login(LoginFormDTO loginForm, HttpSession session) {
       // 1.校验手机号
       String phone = loginForm.getPhone();
       if (RegexUtils.isPhoneInvalid(phone)) {
           // 2.如果不符合,返回错误信息
           return Result.fail("手机号格式错误!");
      }
       // 3.校验验证码
       Object cacheCode = session.getAttribute("code");
       String code = loginForm.getCode();
       if(cacheCode == null || !cacheCode.toString().equals(code)){
            //3.不一致,报错
           return Result.fail("验证码错误");
      }
       //一致,根据手机号查询用户
       User user = query().eq("phone", phone).one();

       //5.判断用户是否存在
       if(user == null){
           //不存在,则创建
           user =  createUserWithPhone(phone);
      }
       //7.保存用户信息到session中
       session.setAttribute("user",user);

       return Result.ok();
  }
校验用户登录状态

核心代码示例

拦截器代码

public class LoginInterceptor implements HandlerInterceptor {
   @Override
   public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
      //1.获取session
       HttpSession session = request.getSession();
       //2.获取session中的用户
       Object user = session.getAttribute("user");
       //3.判断用户是否存在
       if(user == null){
             //4.不存在,拦截,返回401状态码
             response.setStatus(401);
             return false;
      }
       //5.存在,保存用户信息到Threadlocal
       UserHolder.saveUser((UserDTO)user);
       //6.放行
       return true;
  }
}

配置拦截器生效

@Configuration
public class MvcConfig implements WebMvcConfigurer {
   @Resource
   private StringRedisTemplate stringRedisTemplate;

   @Override
   public void addInterceptors(InterceptorRegistry registry) {
       // 登录拦截器
       registry.addInterceptor(new LoginInterceptor())
              .excludePathPatterns(
                       "/shop/**",
                       "/voucher/**",
                       "/shop-type/**",
                       "/upload/**",
                       "/blog/hot",
                       "/user/code",
                       "/user/login"
              ).order(1);
       // token刷新的拦截器
       registry.addInterceptor(new RefreshTokenInterceptor(stringRedisTemplate)).addPathPatterns("/**").order(0);
  }
}

order()方法中,数字越小,拦截器排的越前。

session共享问题

在单机的状态下,看上去好像确实无懈可击。但是在集群的模式下,会出现session共享的问题。

每个tomcat中都有一份属于自己的session,假设用户第一次访问第一台tomcat,并且把自己的信息存放到第一台服务器的session中,但是第二次这个用户访问到了第二台tomcat,那么在第二台服务器上,肯定没有第一台服务器存放的session,所以此时 整个登录拦截功能就会出现问题。

简单来说:多台Tomcat并不共享session存储空间,当请求切换到不同tomcat服务时导致数据丢失问题。

解决方案:进行tomcat的session拷贝,使得每一个tomcat中都有一份完整的session数据。

缺点:

  • 每台tomcat中都有一份数据,服务器压力过大,而且浪费资源。

  • session拷贝会出现延迟。

为了解决上面的问题,使用redis来代替session业务。

基于Redis实现登录流程

短信验证码登录、注册

核心代码示例
    @Override
   public Result sendCode(String phone, HttpSession session) {
       // 1.校验手机号
       if (RegexUtils.isPhoneInvalid(phone)) {
           // 2.如果不符合,返回错误信息
           return Result.fail("手机号格式错误!");
      }
       // 3.符合,生成验证码
       String code = RandomUtil.randomNumbers(6);

       // 4.保存验证码到 session
       stringRedisTemplate.opsForValue().set(LOGIN_CODE_KEY + phone, code, LOGIN_CODE_TTL, TimeUnit.MINUTES);

       // 5.发送验证码
       log.debug("发送短信验证码成功,验证码:{}", code);
       // 返回ok
       return Result.ok();
  }
@Override
public Result login(LoginFormDTO loginForm, HttpSession session) {
   // 1.校验手机号
   String phone = loginForm.getPhone();
   if (RegexUtils.isPhoneInvalid(phone)) {
       // 2.如果不符合,返回错误信息
       return Result.fail("手机号格式错误!");
  }
   // 3.从redis获取验证码并校验
   String cacheCode = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY + phone);
   String code = loginForm.getCode();
   if (cacheCode == null || !cacheCode.equals(code)) {
       // 不一致,报错
       return Result.fail("验证码错误");
  }

   // 4.一致,根据手机号查询用户 select * from tb_user where phone = ?
   User user = query().eq("phone", phone).one();

   // 5.判断用户是否存在
   if (user == null) {
       // 6.不存在,创建新用户并保存
       user = createUserWithPhone(phone);
  }

   // 7.保存用户信息到 redis中
   // 7.1.随机生成token,作为登录令牌
   String token = UUID.randomUUID().toString(true);
   // 7.2.将User对象转为HashMap存储
   UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
   Map<String, Object> userMap = BeanUtil.beanToMap(userDTO, new HashMap<>(),
           CopyOptions.create()
                  .setIgnoreNullValue(true)
                  .setFieldValueEditor((fieldName, fieldValue) -> fieldValue.toString()));
   // 7.3.存储
   String tokenKey = LOGIN_USER_KEY + token;
   stringRedisTemplate.opsForHash().putAll(tokenKey, userMap);
   // 7.4.设置token有效期
   stringRedisTemplate.expire(tokenKey, LOGIN_USER_TTL, TimeUnit.MINUTES);

   // 8.返回token
   return Result.ok(token);
}
校验登录状态

    @Override
   public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
       // 1.获取请求头中的token
       String token = request.getHeader("authorization");
       if (StrUtil.isBlank(token)) {
           return true;
      }
       // 2.基于TOKEN获取redis中的用户
       String key  = LOGIN_USER_KEY + token;
       Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(key);
       // 3.判断用户是否存在
       if (userMap.isEmpty()) {
           return true;
      }
       // 5.将查询到的hash数据转为UserDTO
       UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);
       // 6.存在,保存用户信息到 ThreadLocal
       UserHolder.saveUser(userDTO);
       // 7.刷新token有效期
       stringRedisTemplate.expire(key, LOGIN_USER_TTL, TimeUnit.MINUTES);
       // 8.放行
       return true;
  }

解决状态登录刷新问题

在这个方案中,他确实可以使用对应路径的拦截,同时刷新登录token令牌的存活时间,但

是现在这个拦截器他只是拦截需要被拦截的路径,假设当前用户访问了一些不需要拦截的路

径,那么这个拦截器就不会生效,所以此时令牌刷新的动作实际上就不会执行

方案优化

既然之前的拦截器无法对不需要拦截的路径生效,那么我们可以添加一个拦截器,在第一个

拦截器中拦截所有的路径,把第二个拦截器做的事情放入到第一个拦截器中,同时刷新令

牌,因为第一个拦截器有了threadLocal的数据,所以此时第二个拦截器只需要判断拦截器中

的user对象是否存在即可,完成整体刷新功能。

核心代码示例

拦截器1

public class RefreshTokenInterceptor implements HandlerInterceptor {

   private StringRedisTemplate stringRedisTemplate;

   public RefreshTokenInterceptor(StringRedisTemplate stringRedisTemplate) {
       this.stringRedisTemplate = stringRedisTemplate;
  }

   @Override
   public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
       // 1.获取请求头中的token
       String token = request.getHeader("authorization");
       if (StrUtil.isBlank(token)) {
           return true;
      }
       // 2.基于TOKEN获取redis中的用户
       String key  = LOGIN_USER_KEY + token;
       Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(key);
       // 3.判断用户是否存在
       if (userMap.isEmpty()) {
           return true;
      }
       // 5.将查询到的hash数据转为UserDTO
       UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);
       // 6.存在,保存用户信息到 ThreadLocal
       UserHolder.saveUser(userDTO);
       // 7.刷新token有效期
       stringRedisTemplate.expire(key, LOGIN_USER_TTL, TimeUnit.MINUTES);
       // 8.放行
       return true;
  }

   @Override
   public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
       // 移除用户
       UserHolder.removeUser();
  }
}

拦截器2

public class LoginInterceptor implements HandlerInterceptor {

   @Override
   public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
       // 1.判断是否需要拦截(ThreadLocal中是否有用户)
       if (UserHolder.getUser() == null) {
           // 没有,需要拦截,设置状态码
           response.setStatus(401);
           // 拦截
           return false;
      }
       // 有用户,则放行
       return true;
  }
}

配置拦截

@Configuration
public class MvcConfig implements WebMvcConfigurer {

   @Resource
   private StringRedisTemplate stringRedisTemplate;

   @Override
   public void addInterceptors(InterceptorRegistry registry) {
       // 登录拦截器
       registry.addInterceptor(new LoginInterceptor())
              .excludePathPatterns(
                       "/shop/**",
                       "/voucher/**",
                       "/shop-type/**",
                       "/upload/**",
                       "/blog/hot",
                       "/user/code",
                       "/user/login"
              ).order(1);
       // token刷新的拦截器
       registry.addInterceptor(new RefreshTokenInterceptor(stringRedisTemplate)).addPathPatterns("/**").order(0);
  }
}
 
posted @ 2022-11-16 11:42  你比从前快乐;  阅读(75)  评论(0编辑  收藏  举报