電商專案中,在單伺服器時,使用者登入時將使用者資訊設定到 session 中,獲取使用者資訊從 session 中獲取,退出時從 session 中刪除即可。
但在搭建 Tomcat 叢集后,就需要考慮 Session 共享問題,可通過單點登入解決方案實現,這裡主要有兩種方法,一種是通過 Redis + Cookie 自己實現,另一種是藉助 Spring Session 框架解決。
Redis+Cookie 實現
單點登入的思路
使用者登入:
- 首先驗證使用者密碼是否正確,並返回使用者資訊;
- 使用
uuid或session.getId生成唯一id(token),設定到cookie中,將其寫給客戶端; - 將使用者資訊(
user物件)轉換為json格式; - 以
key=token,value=(user 的 json 格式),寫到redis中,並設定過期時間;
退出登入:
- 使用者請求時會攜帶
cookie,從cookie中獲取到token; - 從請求中獲取到
cookie,將其過期時間設定為0,再寫入到響應中,即刪除了token; - 再從
redis中刪除token;
獲取使用者資訊:
- 從請求攜帶的
cookie中獲取到token; - 根據
token在redis中查詢相應的user物件的json串; - 將
json串轉換為user物件;
Redis 連線池及工具類
由於 token 和 user 物件都會儲存在 redis 中,所以這裡封裝一個 redis 的連線池和工具類。
首先,封裝一個 redis 連線池,每次直接從連線池中獲取 jedis 例項即可。
public class RedisPool {
private static JedisPool jedisPool;
private static String redisIP = PropertiesUtil.getProperty("redis.ip", "192.168.23.130");
private static Integer redisPort = Integer.parseInt(PropertiesUtil.getProperty("redis.port", "6379"));
// 最大連線數
private static Integer maxTotal = Integer.parseInt(PropertiesUtil.getProperty("redis.max.total", "20"));
// 最大的 idle 狀態的 jedis 例項個數
private static Integer maxIdle = Integer.parseInt(PropertiesUtil.getProperty("redis.max.idle", "10"));
// 最小的 idle 狀態的 jedis 例項個數
private static Integer minIdle = Integer.parseInt(PropertiesUtil.getProperty("redis.min.idle", "2"));
// 在 borrow 一個 jedis 例項時,是否要進行驗證操作
private static Boolean testOnBorrow = Boolean.parseBoolean(PropertiesUtil.getProperty("redis.test.borrow", "true"));
// 在 return 一個 jedis 例項時,是否要進行驗證操作
private static Boolean testOnReturn = Boolean.parseBoolean(PropertiesUtil.getProperty("redis.test.return", "true"));
static {
JedisPoolConfig config = new JedisPoolConfig();
config.setMaxTotal(maxTotal);
config.setMaxIdle(maxIdle);
config.setMinIdle(minIdle);
config.setTestOnBorrow(testOnBorrow);
config.setTestOnReturn(testOnReturn);
jedisPool = new JedisPool(config, redisIP, redisPort, 1000*2);
}
public static Jedis getJedis() {
return jedisPool.getResource();
}
public static void returnJedis(Jedis jedis) {
jedis.close();
}
}
複製程式碼然後,再將其封裝成一個工具類,基本操作就是從 redis 連線池中獲取 jedis 例項,進行 set/get/expire 等操作,然後將其放回到 redis 連線池中。
@Slf4j
public class RedisPoolUtil {
// exTime 以秒為單位
public static Long expire(String key, int exTime) {
Jedis jedis = null;
Long result = null;
try {
jedis = RedisPool.getJedis();
result = jedis.expire(key, exTime);
} catch (Exception e) {
log.error("expire key:{}, error", key, e);
}
RedisPool.returnJedis(jedis);
return result;
}
public static Long del(String key) {
Jedis jedis = null;
Long result = null;
try {
jedis = RedisPool.getJedis();
result = jedis.del(key);
} catch (Exception e) {
log.error("del key:{}, error", key, e);
}
RedisPool.returnJedis(jedis);
return result;
}
public static String get(String key) {
Jedis jedis = null;
String result = null;
try {
jedis = RedisPool.getJedis();
result = jedis.get(key);
} catch (Exception e) {
log.error("get key:{}, error", key, e);
}
RedisPool.returnJedis(jedis);
return result;
}
public static String set(String key, String value) {
Jedis jedis = null;
String result = null;
try {
jedis = RedisPool.getJedis();
result = jedis.set(key, value);
} catch (Exception e) {
log.error("set key:{}, value:{}, error", key, value, e);
}
RedisPool.returnJedis(jedis);
return result;
}
// exTime 以秒為單位
public static String setEx(String key, String value, int exTime) {
Jedis jedis = null;
String result = null;
try {
jedis = RedisPool.getJedis();
result = jedis.setex(key, exTime, value);
} catch (Exception e) {
log.error("setex key:{}, value:{}, error", key, value, e);
}
RedisPool.returnJedis(jedis);
return result;
}
}
複製程式碼JsonUtil 工具類
將 user 物件儲存在 redis 中,需要轉換為 json 格式,從 redis 中獲取 user 物件,又需要轉換為 user 物件。這裡封裝一個 json 的工具類。
JsonUtil 工具類主要使用 ObjectMapper 類。
bean類轉換為String型別,使用writerValueAsString方法。String型別轉換為bean類,使用readValue方法。
@Slf4j
public class JsonUtil {
private static ObjectMapper objectMapper = new ObjectMapper();
static {
// 序列化時將所有欄位列入
objectMapper.setSerializationInclusion(JsonSerialize.Inclusion.ALWAYS);
// 取消預設將 DATES 轉換為 TIMESTAMPS
objectMapper.configure(SerializationConfig.Feature.WRITE_DATES_AS_TIMESTAMPS, false);
// 忽略空 bean 轉 json 的錯誤
objectMapper.configure(SerializationConfig.Feature.FAIL_ON_EMPTY_BEANS, false);
// 所有日期樣式統一
objectMapper.setDateFormat(new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"));
// 忽略 在 json 字串中存在,在 java 物件中不存在對應屬性的情況
objectMapper.configure(DeserializationConfig.Feature.FAIL_ON_UNKNOWN_PROPERTIES, false);
}
public static <T> String obj2Str(T obj) {
if (obj == null) { return null; }
try {
return obj instanceof String ? (String) obj : objectMapper.writeValueAsString(obj);
} catch (Exception e) {
log.warn("Parse Object to String error", e);
return null;
}
}
public static <T> String obj2StrPretty(T obj) {
if (obj == null) { return null; }
try {
return obj instanceof String ? (String) obj :
objectMapper.writerWithDefaultPrettyPrinter().writeValueAsString(obj);
} catch (Exception e) {
log.warn("Parse Object to String error", e);
return null;
}
}
public static <T> T str2Obj(String str, Class<T> clazz) {
if (StringUtils.isEmpty(str) || clazz == null) {
return null;
}
try {
return clazz.equals(String.class) ? (T)str : objectMapper.readValue(str, clazz);
} catch (Exception e) {
log.warn("Parse String to Object error", e);
return null;
}
}
public static <T> T str2Obj(String str, TypeReference<T> typeReference) {
if (StringUtils.isEmpty(str) || typeReference == null) {
return null;
}
try {
return typeReference.getType().equals(String.class) ? (T)str : objectMapper.readValue(str, typeReference);
} catch (Exception e) {
log.warn("Parse String to Object error", e);
return null;
}
}
public static <T> T str2Obj(String str, Class<?> collectionClass, Class<?> elementClass) {
JavaType javaType = objectMapper.getTypeFactory().constructParametricType(collectionClass, elementClass);
try {
return objectMapper.readValue(str, javaType);
} catch (Exception e) {
log.warn("Parse String to Object error", e);
return null;
}
}
}
複製程式碼CookieUtil 工具類
登入時需要將 token 設定到 cookie 中返回給客戶端,退出時需要從 request 中攜帶的 cookie 中讀取 token,設定過期時間後,又將其設定到 cookie 中返回給客戶端,獲取使用者資訊時,獲取使用者資訊時,需要從 request 中攜帶的 cookie 中讀取 token,在 redis 中查詢後獲得 user 物件。這裡呢,也封裝一個 cookie 的工具類。
在 CookieUtil 中:
readLoginToken方法主要從request讀取Cookie;writeLoginToken方法主要設定Cookie物件加到response中;delLoginToken方法主要從request中讀取Cookie,將其maxAge設定為0,再新增到response中;
@Slf4j
public class CookieUtil {
private static final String COOKIE_DOMAIN = ".happymmall.com";
private static final String COOKIE_NAME = "mmall_login_token";
public static String readLoginToken(HttpServletRequest request) {
Cookie[] cookies = request.getCookies();
if (cookies != null) {
for (Cookie cookie : cookies) {
log.info("read cookieName:{}, cookieValue:{}", cookie.getName(), cookie.getValue());
if (StringUtils.equals(COOKIE_NAME, cookie.getName())) {
log.info("return cookieName:{}, cookieValue:{}", cookie.getName(), cookie.getValue());
return cookie.getValue();
}
}
}
return null;
}
public static void writeLoginToken(HttpServletResponse response, String token) {
Cookie cookie = new Cookie(COOKIE_NAME, token);
cookie.setDomain(COOKIE_DOMAIN);
cookie.setPath("/");
// 防止指令碼攻擊
cookie.setHttpOnly(true);
// 單位是秒,如果是 -1,代表永久;
// 如果 MaxAge 不設定,cookie 不會寫入硬碟,而是在記憶體,只在當前頁面有效
cookie.setMaxAge(60 * 60 * 24 * 365);
log.info("write cookieName:{}, cookieValue:{}", cookie.getName(), cookie.getValue());
response.addCookie(cookie);
}
public static void delLoginToken(HttpServletRequest request, HttpServletResponse response) {
Cookie[] cookies = request.getCookies();
if (cookies != null) {
for (Cookie cookie : cookies) {
if (StringUtils.equals(COOKIE_NAME, cookie.getName())) {
cookie.setDomain(COOKIE_DOMAIN);
cookie.setPath("/");
// maxAge 設定為 0,表示將其刪除
cookie.setMaxAge(0);
log.info("del cookieName:{}, cookieValue:{}", cookie.getName(), cookie.getValue());
response.addCookie(cookie);
return;
}
}
}
}
}
複製程式碼具體業務
登入時驗證密碼後:
CookieUtil.writeLoginToken(response, session.getId());
RedisShardedPoolUtil.setEx(session.getId(), JsonUtil.obj2Str(serverResponse.getData()), Const.RedisCacheExtime.REDIS_SESSION_EXTIME);
複製程式碼退出登入時:
String loginToken = CookieUtil.readLoginToken(request);
CookieUtil.delLoginToken(request, response);
RedisShardedPoolUtil.del(loginToken);
複製程式碼獲取使用者資訊時:
String loginToken = CookieUtil.readLoginToken(request);
if (StringUtils.isEmpty(loginToken)) {
return ServerResponse.createByErrorMessage("使用者未登入,無法獲取當前使用者資訊");
}
String userJsonStr = RedisShardedPoolUtil.get(loginToken);
User user = JsonUtil.str2Obj(userJsonStr, User.class);
複製程式碼SessionExpireFilter 過濾器
另外,在使用者登入後,每次操作後,都需要重置 Session 的有效期。可以使用過濾器來實現。
public class SessionExpireFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException { }
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
String loginToken = CookieUtil.readLoginToken(httpServletRequest);
if (StringUtils.isNotEmpty(loginToken)) {
String userJsonStr = RedisShardedPoolUtil.get(loginToken);
User user = JsonUtil.str2Obj(userJsonStr, User.class);
if (user != null) {
RedisShardedPoolUtil.expire(loginToken, Const.RedisCacheExtime.REDIS_SESSION_EXTIME);
}
}
filterChain.doFilter(servletRequest, servletResponse);
}
@Override
public void destroy() { }
}
複製程式碼還需要在 web.xml 檔案中進行配置:
<filter>
<filter-name>sessionExpireFilter</filter-name>
<filter-class>com.mmall.controller.common.SessionExpireFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>sessionExpireFilter</filter-name>
<url-pattern>*.do</url-pattern>
</filter-mapping>
複製程式碼此方式的缺陷
redis + cookie方式實現的單點登入對程式碼侵入性比較大;- 客戶端必須啟用
cookie,而有些瀏覽器不支援cookie; Cookie設定domain時必須統一,伺服器也必須統一域名方式;
Spring Session 實現
Spring Session 是 Spring 的專案之一,它提供了建立和管理 Server HTTPSession 的方案。並提供了叢集 Session 功能,預設採用外接的 Redis 來儲存 Session 資料,以此來解決 Session 共享的問題。
Spring Session 可以無侵入式地解決 Session 共享問題,但是不能進行分片。
Spring Session 專案整合
1、引入 Spring Session pom
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
<version>1.2.2.RELEASE</version>
</dependency>
複製程式碼2、配置 DelegatingFilterProxy
<filter>
<filter-name>springSessionRepositoryFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSessionRepositoryFilter</filter-name>
<url-pattern>*.do</url-pattern>
</filter-mapping>
複製程式碼3、配置 RedisHttpSessionConfiguration
<bean id="redisHttpSessionConfiguration" class="org.springframework.session.data.redis.config.annotation.web.http.RedisHttpSessionConfiguration">
<property name="maxInactiveIntervalInSeconds" value="1800" />
</bean>
複製程式碼4、配置 JedisPoolConfig
<bean id="jedisPoolConfig" class="redis.clients.jedis.JedisPoolConfig">
<property name="maxTotal" value="20" />
</bean>
複製程式碼5、配置 JedisSessionFactory
<bean id="jedisConnectionFactory" class="org.springframework.data.redis.connection.jedis.JedisConnectionFactory" >
<property name="hostName" value="192.168.23.130" />
<property name="port" value="6379" />
<property name="database" value="0" />
<property name="poolConfig" ref="jedisPoolConfig" />
</bean>
複製程式碼6、配置 DefaultCookieSerializer
<bean id="defaultCookieSerializer" class="org.springframework.session.web.http.DefaultCookieSerializer">
<property name="cookieName" value="SESSION_NAME" />
<property name="domainName" value=".happymmall.com" />
<property name="useHttpOnlyCookie" value="true" />
<property name="cookiePath" value="/" />
<property name="cookieMaxAge" value="31536000" />
</bean>
複製程式碼業務程式碼
使用者登入時:
session.setAttribute(Const.CURRENT_USER, response.getData());
複製程式碼退出登入時:
session.removeAttribute(Const.CURRENT_USER);
複製程式碼獲得使用者資訊時:
User user = (User) session.getAttribute(Const.CURRENT_USER);
複製程式碼