Redis实战一:基于Redis实现短信登录(黑马点评)
基于Session实现登录流程
发送验证码
@Override
public Result sendCode(String phone, HttpSession session) {
// 1.校验手机号
if (RegexUtils.isPhoneInvalid(phone)) {
// 2.如果不符合,返回错误信息
return Result.fail("手机号格式错误!");
}
// 3.符合,生成验证码
String code = RandomUtil.randomNumbers(6);
// 4.保存验证码到 session
session.setAttribute("code",code);
// 5.发送验证码
log.debug("发送短信验证码成功,验证码:{}", code);
// 返回ok
return Result.ok();
}
登录
@Override
public Result login(LoginFormDTO loginForm, HttpSession session) {
// 1.校验手机号
String phone = loginForm.getPhone();
if (RegexUtils.isPhoneInvalid(phone)) {
// 2.如果不符合,返回错误信息
return Result.fail("手机号格式错误!");
}
// 3.校验验证码
Object cacheCode = session.getAttribute("code");
String code = loginForm.getCode();
if(cacheCode == null || !cacheCode.toString().equals(code)){
//3.不一致,报错
return Result.fail("验证码错误");
}
//一致,根据手机号查询用户
User user = query().eq("phone", phone).one();
//5.判断用户是否存在
if(user == null){
//不存在,则创建
user = createUserWithPhone(phone);
}
//7.保存用户信息到session中
session.setAttribute("user", BeanUtils.copyProperties(user,UserDTO.class));
return Result.ok();
}
登录拦截(使用threadLoacal保存当前线程特有的信息,如用户)
public class LoginInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//1.获取session
HttpSession session = request.getSession();
//2.获取session中的用户
Object user = session.getAttribute("user");
//3.判断用户是否存在
if(user == null){
//4.不存在,拦截,返回401状态码
response.setStatus(401);
return false;
}
//5.存在,保存用户信息到Threadlocal
UserHolder.saveUser((UserDTO) user);
//6.放行
return true;
}
}
拦截器配置
@Configuration
public class MvcConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
// 登录拦截器
registry.addInterceptor(new LoginInterceptor())
.excludePathPatterns(
"/shop/**",
"/voucher/**",
"/shop-type/**",
"/upload/**",
"/blog/hot",
"/user/code",
"/user/login"
);
}
}
在用户敏感信息这块,主要是封装数据库读取出来的用户,只保留前端所需要的少量数据,本身提供的代码已经进行了实现。
存在的问题
- Session保持问题(Session Stickiness/Affinity):
每次客户端请求都可能被不同的Tomcat服务器处理,这会导致Session数据不一致。如果用户的请求被不同的服务器处理,而每个服务器不共享Session,这将导致用户在不同请求之间丢失状态信息,即登录失效。 - Session数据同步问题:
Tomcat服务器各自维护自己的Session,如果这些服务器之间没有共享Session数据,当请求被转发到不同服务器时,Session信息无法有效同步,导致Session数据丢失或不一致。
解决方案
-
Session粘性:
配置负载均衡器(如Nginx、HAProxy等)使用Session黏性,这样每个用户在登录后每次请求都会被发送到同一台Tomcat服务器
-
Session复制/共享:
配置Tomcat使用集群模式,共享Session数据
-
Redis外部存储:
将所有Tomcat服务器的Session存储在同一个外部系统中,确保Session的一致性和持久性,又因为Redis内存存储、数据共享、KeyValue存储的特性,通过选用Redis来实现Session共享
基于Redis共享Session实现短信登录
登录,采用Token作为登录令牌,短信验证码通过String存储,身份信息通过Hash存储。
@Override
public Result login(LoginFormDTO loginForm, HttpSession session) {
// 1.校验手机号
String phone = loginForm.getPhone();
if (RegexUtils.isPhoneInvalid(phone)) {
// 2.如果不符合,返回错误信息
return Result.fail("手机号格式错误!");
}
// 3.从redis获取验证码并校验
String cacheCode = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY + phone);
String code = loginForm.getCode();
if (cacheCode == null || !cacheCode.equals(code)) {
// 不一致,报错
return Result.fail("验证码错误");
}
// 4.一致,根据手机号查询用户 select * from tb_user where phone = ?
User user = query().eq("phone", phone).one();
// 5.判断用户是否存在
if (user == null) {
// 6.不存在,创建新用户并保存
user = createUserWithPhone(phone);
}
// 7.保存用户信息到 redis中
// 7.1.随机生成token,作为登录令牌
String token = UUID.randomUUID().toString(true);
// 7.2.将User对象转为HashMap存储
UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
Map<String, Object> userMap = BeanUtil.beanToMap(userDTO, new HashMap<>(),
CopyOptions.create()
.setIgnoreNullValue(true)
.setFieldValueEditor((fieldName, fieldValue) -> fieldValue.toString()));
// 7.3.存储
String tokenKey = LOGIN_USER_KEY + token;
stringRedisTemplate.opsForHash().putAll(tokenKey, userMap);
// 7.4.设置token有效期
stringRedisTemplate.expire(tokenKey, LOGIN_USER_TTL, TimeUnit.MINUTES);
// 8.返回token
return Result.ok(token);
}
关于每次访问刷新登录状态,可以采用多个拦截器进行刷新
public class RefreshTokenInterceptor implements HandlerInterceptor {
private StringRedisTemplate stringRedisTemplate;
public RefreshTokenInterceptor(StringRedisTemplate stringRedisTemplate) {
this.stringRedisTemplate = stringRedisTemplate;
}
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 1.获取请求头中的token
String token = request.getHeader("authorization");
if (StrUtil.isBlank(token)) {
return true;
}
// 2.基于TOKEN获取redis中的用户
String key = LOGIN_USER_KEY + token;
Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(key);
// 3.判断用户是否存在
if (userMap.isEmpty()) {
return true;
}
// 5.将查询到的hash数据转为UserDTO
UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);
// 6.存在,保存用户信息到 ThreadLocal
UserHolder.saveUser(userDTO);
// 7.刷新token有效期
stringRedisTemplate.expire(key, LOGIN_USER_TTL, TimeUnit.MINUTES);
// 8.放行
return true;
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
// 移除用户
UserHolder.removeUser();
}
}
需要注意的是RefreshTokenInterceptor拦截器并不是Spring进行管理的所有不能直接使用@Resoures自动注入,其中的stringRedisTemplate,需要手动进行示例化。
存在的问题
- 由于只采用了单一的Redis可能存在单点故障。
- 数据量大的情况下,可用性降低
解决方案
-
采用多个Redis组成集群
Redis Sentinel是一种主从架构,提供高可用性和自动故障转移能力。Sentinel监控Redis服务器,并在主节点发生故障时自动进行故障转移。
-
Redis Cluster
Redis Cluster是一个分布式架构,能够自动进行数据分片,同时支持高可用性。在Redis Cluster中,数据分布在多个主从对上,每个主节点负责一部分数据,并有从节点进行冗余。
总结
Tomcat作为Web服务器更多需要承担服务器本身的业务,采用Redis将其性能更好释放提高整体系统的服务能力。但同样多个Tomcat存在的数据不一致问题在多个Redis中任然存在,Redis会怎么解决这个问题呢,下次会详细进行解答。