集群下session共享问题的解决方案.
这一篇博客来讲解下babasport这个项目中使用的Login功能, 当然这里说的只是其中的一些简单的部分, 记录在此 方便以后查阅.
一: 去登录页面
首先我们登录需要注意的事项是, 当用户点击登录按钮时,转入登录页面时也要记住之前用户是从哪个页面发送请求过来的, 这样登录成功后还能继续跳回到用户之前浏览的那个页面.
我们页面展示显示的登录按钮都是集成在一个common的jsp中, 前台每个页面都是引用的这个jsp, 所以需要在这个common的jsp中直接添加点击登录按钮跳转的页面.
这里点击登录按钮后 就会使用window.location.href="http://localhost:8081/login.aspx?returnUrl="+encodeURIComponent(window.location.href);跳转到新的页面, 且这里传入的参数 是浏览器的url, 这个就是为了登录成功后 还能继续跳转到这个页面来. 而encodeURIComponent是 js自带的转义类, 转义的好处是能够在url中带中文重定向后无法接收 且url带多参数解决&被转义而无效的情况.
下图就是跳转到login页面前的window.location.href属性:
二, 处理登录操作
到了登录界面后, 查看登陆界面图, 这里的url参数是经过转义的:
点击登录按钮 会进入到LoginController.java中:
1 //去登录页面 2 @RequestMapping(value="/login.aspx",method=RequestMethod.GET) 3 public String login(){ 4 return "login"; 5 } 6 7 @Autowired 8 private BuyerService buyerService; 9 10 @Autowired 11 private SessionProviderService sessionProviderService; 12 //执行登录操作 13 @RequestMapping(value="/login.aspx",method=RequestMethod.POST) 14 public String login(String username, String password, String returnUrl,Model model, 15 HttpServletRequest request, HttpServletResponse response){ 16 //1: 判断用户名不能为空 17 if(null != username){ 18 //2:判断密码不能为空 19 if (null != password){ 20 //3:用户名必须正确 21 Buyer buyer = buyerService.selectBuyerByusername(username); 22 if(buyer != null){ 23 //4:密码必须正确 24 if(encodePassword(password).equals(buyer.getPassword())){ 25 //5:设置用户到Session 26 sessionProviderService.setAttributerForUsername(RequestUtils.getCSessionId(request, response), buyer.getUsername()); 27 //6:回跳之前访问页面 28 if(null != returnUrl){ 29 return "redirect:"+returnUrl; 30 }else{ 31 return "redirect:http://localhost:8082/"; 32 } 33 }else { 34 model.addAttribute("error", "密码输入错误!"); 35 } 36 }else { 37 model.addAttribute("error", "用户名输入错误!"); 38 } 39 40 }else { 41 model.addAttribute("error", "密码不能为空!"); 42 } 43 }else { 44 model.addAttribute("error", "用户名不能为空!"); 45 } 46 47 48 return "login"; 49 } 50 51 //加密 52 public String encodePassword(String password){ 53 54 String algorithm = "MD5"; 55 char[] encodeHex = null; 56 //MD5 57 try { 58 MessageDigest instance = MessageDigest.getInstance(algorithm); 59 byte[] digest = instance.digest(password.getBytes()); 60 61 //十六进制, 在MD5加密的基础上再次加密 62 encodeHex = Hex.encodeHex(digest); 63 } catch (NoSuchAlgorithmException e) { 64 // TODO Auto-generated catch block 65 e.printStackTrace(); 66 } 67 68 return new String(encodeHex); 69 }
这里使用了MD5加密, 经过MD5加密后在使用十六进制进行加密.
如果登陆成功, 调用sessionProviderService.setAttributerForUsername(RequestUtils.getCSessionId(request, response), buyer.getUsername());
SessionProviderImpl.java:
1 //session存活时间, 单位是分钟. 2 private Integer exp = 30; 3 public void setExp(Integer exp) { 4 this.exp = exp; 5 } 6 7 8 @Autowired 9 private Jedis jedis; 10 //保存用户到redis中 注册: 保存用户到mysql的同时保存用户名作为Key 用户Id当做value 到redis中 11 //jessionId value==用户名 12 public void setAttributerForUsername(String jessionId, String value){ 13 jedis.set(jessionId + ":USER_NAME", value); 14 jedis.expire(jessionId + ":USER_NAME", 60*exp); 15 }
将username信息保存到Redis中, key是CSessionId:USER_NAME, value是username.
三: 验证用户是否登录
首先看下没有Login的时候最原始的页面:
那么显然这里就不对了, 如果没有登录, 那么就只应该显示[登录]和[免费注册], 后面的[退出]和[我的订单]就不应该显示的, 那么怎么来验证是否登录呢?
这里头部显示的内容全都是引用的同一个common的jsp文件, 首先在页面加载的时候我们应该判断用户是否登录:
如果这里我们直接使用ajax异步去调用获取用户是否已经登录, 这里dataType暂时使用json(jsonp是为了解决跨域问题)
如果我们代码中也是这样改动的, 那么会发生什么事情呢?
这里提示不能够跨域访问? 那么该怎么去做呢?
上面的截图已经给出了, 我们传递的dataType类型是jsonp, 就意味着我们这个ajax请求时跨域请求.
这里又引出一个新问题, 关于多服务器的问题, 如果用户登录时所处的服务器是Tomcat1, 那么登录后当用户再次访问页面时同样会做登录验证, 这个时候如果是Tomcat2呢?
所以这里就引出了抛弃使用jesseionId的想法,具体的解决方法如图:
我们自己创建一个CsessionId, 当用户第一次访问时, CsessionId为空, 那么 在Tomcat1总创建一个CsessionId, 并且将此CsessionId保存到Redis服务器中, 且返回给浏览器.
当用户第二次访问, 且由Tomcat2 负责处理时, Tomcat2 通过CsessionId去Redis服务器中查找已存在, 然后就知道了此用户已经登录.
下面就看看对于这个CsessionId是如何操作的:
跨域请求后, isLogin接收的参数有一个callBack属性, 如果是跨域请求, 那么这个参数就会有值.
1 //是否登录
2 @RequestMapping(value="/isLogin.aspx")
3 public @ResponseBody MappingJacksonValue isLogin(String callback, HttpServletRequest request, HttpServletResponse response) throws IOException{
4 Integer result = 0;
5 //判断用户是否登录
6 String username = sessionProviderService.getAttributterForUsername(RequestUtils.getCSessionId(request, response));
7 if (null != username) {
8 result = 1;
9 }
10
11 //返回<script> 类, 这个类支持跨域请求
12 MappingJacksonValue mjv = new MappingJacksonValue(result);
13 //设置jsonpFunction
14 mjv.setJsonpFunction(callback);
15 return mjv;
16 }
这个地方 是先通过RequestUtils获取CSessionId, 然后再通过CSessionId去获取到对应的username.
RequestUtils.java:
1 public class RequestUtils { 2 3 //获取CSessionID 4 public static String getCSessionId(HttpServletRequest request, HttpServletResponse response){ 6 //1, 从Request中取Cookie 7 Cookie[] cookies = request.getCookies(); 8 //2, 从Cookie数据中遍历查找, 并取CSessionID 9 if (null != cookies && cookies.length > 0) { 10 for (Cookie cookie : cookies) { 11 if ("CSESSIONID".equals(cookie.getName())) { 12 //有, 直接返回 13 return cookie.getValue(); 14 } 15 } 16 } 17 //没有, 创建一个CSessionId, 并且放到Cookie再返回浏览器.返回新的CSessionID 18 String csessionid = UUID.randomUUID().toString().replaceAll("-", ""); 19 //并且放到Cookie中 20 Cookie cookie = new Cookie("CSESSIONID", csessionid); 21 //cookie 每次都带来, 设置路径 22 cookie.setPath("/"); 23 //0:关闭浏览器 销毁cookie. 0:立即消失. >0 存活时间,秒 24 cookie.setMaxAge(-1); 25 26 return csessionid; 27 } 28 }
先查看cookies中是否保存的有CSessionId, 如果没有就新创建一个, 且保存到Cookies中.
SessionProviderImpl.java:
1 public class SessionProviderImpl implements SessionProviderService { 2 3 //session存活时间, 单位是分钟. 4 private Integer exp = 30; 5 public void setExp(Integer exp) { 6 this.exp = exp; 7 } 8 9 10 @Autowired 11 private Jedis jedis; 12 //保存用户到redis中 注册: 保存用户到mysql的同时保存用户名作为Key 用户Id当做value 到redis中 13 //jessionId value==用户名 14 public void setAttributerForUsername(String jessionId, String value){ 15 jedis.set(jessionId + ":USER_NAME", value); 16 jedis.expire(jessionId + ":USER_NAME", 60*exp); 17 } 18 19 20 //获取 21 public String getAttributterForUsername(String jessionId){ 22 String value = jedis.get(jessionId + ":USER_NAME"); 23 if(null != value){ 24 //计算session过期时间是 用户最后一次请求开始计时. 25 jedis.expire(jessionId + ":USER_NAME", 60*exp); 26 return value; 27 } 28 return null; 29 } 30 }
这里的getAttributterForUsername 是通过传递进来的CSessionId 去Redis服务器中查找 相应的结果, 如果已经保存了这个 CSessionId, 那么就返回username.
如果已经登陆, 那么就返回1, 在ajax请求的success中再进行相应的处理.
关于登陆的再来梳理一下:
已经登陆, 校验是否登陆
登陆成功: 会将一个CSessionId保存到Redis中, Redis中设置的这个CSessionId的过期时间为60分钟.
CSessionId是保存在Cookies中的, 如果Cookies中没有这个CSessionId则创建一个返回.Cookies中的CSessionId的过期时间也是60分钟.
校验是否登录:通过ajax发送跨域请求, 此时因为已经登陆成功, 所以Cookies中存在这个CSessionId. 然后通过这个CSessionId我们可以在Redis服务器中查出对应的username. 然后Controller将设置一个flag为1, 在ajax中接收到这个flag , 就可以根据判断来做出相应的处理.
关于Login就这么多, 当然这里的权限验证远远不够, 而且这里也省略的注册的内容, 大致需要注意的就是这么多, 其中最 关键的就是CSession的使用, 这个可以解决多服务器直接session的共享.