常见单机和分布式应用的登录校验解决方案

最新推荐文章于 2023-10-24 09:39:36 发布
最新推荐文章于 2023-10-24 09:39:36 发布
阅读量484 收藏 1
点赞数
分类专栏: Coding 笔记 文章标签: session jwt cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CC1014524900/article/details/106236388
版权
1、常见单机和分布式应用下登录校验

单机 tomcat 应⽤用登录检验

  • sesssion保存在浏览器和应用服务器会话之间。
  • 用户登录成功,服务端会保存一个 session,服务器会给客户端分发一个 sessionID 作为标识。
  • 客户端会把 sessionID 保存在 cookie 中,每次请求都会携带这个 sessionId。

分布式应用中 session共享

  • 真实的应用不可能单节点部署,所以就有个多节点登录session共享的问题需要解决。
  • tomcat支持 session 共享,但是有广播风暴;用户量大的时候,占用资源严重,不推荐。
  • 使用 redis 存储 token 思路:
    • 服务端使用 UUID 生成随机64位或128位 token,放入 redis 中,然后返回给客户端并存 储在cookie中。
    • 用户每次访问都携带此 token,服务端去 redis 中校验是否有此用户即可。

分布式应用中使用 JWT 解决方案

  • 优点

    • 生产的 token 可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库。
    • 存储在客户端,不占用服务端的内存资源。

  • 缺点

    • token是经过base64编码,所以可以解码,因此token加密前的对象不应该包含敏感信息,如用户权限,密码等。
    • 如果没有服务端存储,则不能做登录失效处理,除非服务端改密钥。

  • 对于JSON Web Token(JWT)基本概念,可以参考我以前的一篇文章,在此不过多赘述

    密码加密与微服务鉴权JWT

2、登录拦截器案例代码演示

技术栈:SpringBoot 2.1.6.RELEASE,Mybatis

开发工具:IDEA、Java8、Postman

2.1、基本 SpringBoot 项目的创建、引入相关依赖、SQL语句,请参考文末代码地址即可。

2.1、用户生成 、解析 token 的工具类和用户密码工具类(使用 MD5)

/**
 * Jwt工具类
 * 注意点:
 * 1、生成的token, 是可以通过base64进行解密出明文信息
 * 2、base64进行解密出明文信息,修改再进行编码,则会解密失败
 * 3、无法作废已颁布的token,除非改秘钥
 */
public class JWTUtils {

    // 过期时间,一周
    private static final long EXPIRE = 60000 * 60 * 24 * 7;

    // 加密秘钥
    public static final String SECRET = "DouBi666";

    // 令牌前缀
    public static final String TOKEN_PREFIX = "RookieMZL";

    // subject
    private static final String SUBJECT = "BigBoy";

    /**
     * 根据用户信息,生成令牌
     *
     * @param user
     * @return
     */
    public static String geneJWT(User user) {

        String token = Jwts.builder().setSubject(SUBJECT)
                .claim("id", user.getId())
                .claim("name", user.getName())
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
                .signWith(SignatureAlgorithm.HS256, SECRET).compact();

        token = TOKEN_PREFIX + token;

        return token;
    }

    /**
     * 校验token的方法
     *
     * @param token
     * @return
     */
    public static Claims checkJWT(String token) {

        Claims claims = Jwts.parser().setSigningKey(SECRET)
                .parseClaimsJws(token.replace(TOKEN_PREFIX, "")).getBody();

        return claims;
    }
}
===============================================================================================
public class CommonUtils {
    /**
     * MD5 加密
     * @param data
     * @return
     */
    public static String MD5(String data) {
        try {
            MessageDigest md = MessageDigest.getInstance("MD5");
            byte[] array = md.digest(data.getBytes("UTF-8"));
            StringBuilder sb = new StringBuilder();
            for (byte item : array) {
                sb.append(Integer.toHexString((item & 0xFF) | 0x100).substring(1, 3));
            }
            return sb.toString().toUpperCase();
        } catch (Exception e) {
            e.printStackTrace();
        }

        return null;
    }
}

2.1、配置拦截路径和放行路径

public class LoginInterceptor implements HandlerInterceptor {

    /**
     * 进入到controller之前的方法
     *
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        try {
            // 前端可以把 token 放在 Header 或者参数中
            String accessToken = request.getHeader("token");
            // 如果 Header 中没有就从参数中获取
            if (accessToken == null) {
                accessToken = request.getParameter("token");
            }
            if (StringUtils.isNotBlank(accessToken)) {
                Claims claims = JWTUtils.checkJWT(accessToken);

                if (claims == null) {
                    // 登陆过期,重新登陆
                    sendJsonMessage(response, new Result(false, StatusCode.ERROR, "登录过期,重新登录!"));
                    return false;
                }

                Integer id = (Integer) claims.get("id");
                String name = (String) claims.get("name");
                request.setAttribute("user_id", id);
                request.setAttribute("name", name);

                return true;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }

        sendJsonMessage(response, new Result(false, StatusCode.ERROR, "登录过期,重新登录!"));
        return false;
    }

    /**
     * 响应json数据给前端:登陆不成功返回 Json 数据
     *
     * @param response
     * @param obj
     */
    private void sendJsonMessage(HttpServletResponse response, Object obj) {

        try {
            ObjectMapper objectMapper = new ObjectMapper();
            response.setContentType("application/json; charset=utf-8");
            PrintWriter writer = response.getWriter();
            writer.print(objectMapper.writeValueAsString(obj));
            writer.close();
            response.flushBuffer();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}
===============================================================================================
/**
 * 拦截器配置:配置拦截路径和放行路径
 * <p>
 * 不用权限可以访问url    /api/v1/pub/
 * 要登录可以访问url    /api/v1/pri/
 */
@Configuration
@EnableWebMvc
public class InterceptorConfig implements WebMvcConfigurer {

    @Bean
    LoginInterceptor loginInterceptor() {
        return new LoginInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //拦截全部
        registry.addInterceptor(loginInterceptor()).addPathPatterns("/api/v1/pri/*/*/**")
                //设置不拦截的路径
                .excludePathPatterns("/api/v1/pri/user/login", "/api/v1/pri/user/register");

        WebMvcConfigurer.super.addInterceptors(registry);
    }
}

2.3、基本的代码逻辑很简单,就是注册、登陆。

① 登陆成功后颁发给客户端 token ,下次登陆的时候在有效的时间段带着 token 访问即可,如果 token 时间失效,则重新登陆颁发 token ,周而复始。

② 代码逻辑比较简单,请参考文末代码地址即可。

③ 使用 postman 测试案例演示。

  • 注册(会对手机号是否注册进行验证)
    在这里插入图片描述在这里插入图片描述
    可以看到用户已经注册成功,如果使用相同的 phone 再次注册,则会提示手机号码被注册
    在这里插入图片描述

  • 注册成功后用户登录,颁发给客户端 token

    在这里插入图片描述

  • 使用服务端颁发的 token 登陆

    在这里插入图片描述

  • 如果使用错误的 token 登陆或者过期的 token,会提示用户重新登陆

    在这里插入图片描述

3、总结

① 对于基本的概念请参考我的文章:密码加密与微服务鉴权JWT

② 代码地址:常见单机和分布式应用的登录校验解决方案

③ 兄弟们可以自己尝试请求登录,看是否成功。出错的可以留言或者私信共同探讨。

RookieMZL
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
大规模分布式应用之海量数据和高并发解决方案
01-26
开发一个网站的应用程序,当用户规模比较小的时候,使用简单的:一台应用服务器+一台数据库服务器+一台文件服务器,这样的话完全可以解决一部分问题,也可以通过堆硬件的方式来提高网站应用的访问性能,当然,也要考虑成本的问题。
分布式 用户登录权限校验解决方案
tanwu1的博客
05-18 485
无论使用哪种解决方案,都需要进行适当的安全性保护,例如使用HTTPS进行加密传输、防止跨站脚本攻击(XSS)、防止跨站请求伪造(CSRF)等。此外,要考虑分布式系统中的会话管理、缓存同步等问题,确保用户在不同服务间的身份验证和权限控制的一致性。在分布式系统中,用户登录权限校验是一个常见的挑战。需要根据具体的业务需求、系统规模和安全要求选择适合的解决方案,并结合具体的技术栈进行实现。
分布式集群环境下,如何实现每个服务的登陆认证?
Java鱼仔的博客
01-24 1102
分布式Session就这么实现
分布式构架中用户登陆的验证方式
weixin_42183727的博客
09-30 3819
之前在i西科的项目里看到了这样一段代码 注释里说的很清楚,就是用来验证用户登陆的。他这里用了登陆凭证的方式来验证登陆,而我之前写的项目里都是直接在服务器上保存session,于是我去查了一下这两种方式的区别,这里大致介绍一下。  先来看使用session验证的代码: 请求体: /** * 用户登陆请求体 * * @author xuLiang * @since 0.0.1 ...
SpringBoot 分布式验证码登录方案
最新发布
weixin_44831330的博客
10-24 716
为了防止验证系统被暴力破解,很多系统都增加了验证码效验,比较常见的就是图片二维码,业内比较安全的是短信验证码,当然还有一些拼图验证码,加入人工智能的二维码等等,我们今天的主题就是前后端分离的图片二维码登录方案。Kaptcha是一个基于SimpleCaptcha的验证码开源项目我找的这个轮子是基于SimpleCaptcha二次封装的,maven依赖如下--Kaptcha是一个基于SimpleCaptcha的验证码开源项目-->
【案例实战】分布式应用登录检验解决方案JWT
互联网小阿祥
11-16 975
分布式应用登录检验解决方案JWT),编写登录逻辑全流程
分布式应用登录检验解决方案 JWT+登录拦截器开发+用户信息传递
点滴记忆,分享成长之路
12-15 891
一.什么是JWT JWT 是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名 简单来说: 就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息 { id:888, name:'wnn', expire:10000 .
互联网应用App 中单机分布式应用登录校验解决方案
qq_36930082的博客
04-14 448
单机的Tomcat应用登录校验: 用户首次登录成功后,服务端会创建一个Session会话,客户端会生成一个sessionid,客户端会把sessionid保存到cookie里,每次请求都携带这个sessionid,服务端通过校验来判断是拦截还是放行。 分布式应用Session共享登录校验: 真实的应用不可能单节点部署,尤其是像中国移动这种较大型的项目,所以就有多个节点登录session共享的问题需要解决。tomcat支持session共享,但是有广播风暴;尤其用户量大的时候,...
实战:SpringBoot分布式验证码登录方案
快速成长的小菜鸟
07-01 1719
本文大纲 文章目录本文大纲前言前后端未分离的验证码登录方案验证码生成流程如下登录验证流程如下前后端分离的验证码登录方案验证码生成流程如下登录验证流程如下动手撸轮子Kaptcha介绍新建项目并加入依赖Redis配置类`RedisConfig`验证码配置类`KaptchaConfig`验证码控制层`CaptchaController`验证码返回对象`CaptchaVO`Redis封装类 `RedisUtils`验证码方法层`CaptchaService`用户登录对象封装`LoginDTO`登录控制层`UserC
dubbo分布式服务框架实现登录远程校验
09-27
服务端要求:要求实现如下远程方法,实现对登录提交的用户名密码进行远程校验。 public Boolean CheckLogin(String username, String password) 服务端代码要求连接Mysql数据库进行数据校验; 客户端要求:用RMI技术进行远程过程调用实现登录过程。根据远程返回值分别进入“登录成功”或“登录失败”提示信息或页面。
微服务主题系统_分布式事务领域知识及常见解决方案
08-26
本文档非常详细的介绍了分布式事务领域知识及常见解决方案
基于AgileEAS.NET企业应用开发平台的分布式解决方案
02-26
AgileEAS.NET平台所实现的分布式包含两层一次,一次是广义的分成式应用,其意义是应用服务定位器提供本地服务组件及不同分布式服务的发现、定位与集成;狭义的分布式系统是基于信息系统类应用场景所实现的分布式数据...
常用的分布式事务解决方案
01-27
本文来自于CSDN,文章详细介绍了梳理分布式事务的基本概念和理论基础,然后介绍几种目前常用的分布式事务解决方案等。 事务由一组操作构成,我们希望这组操作能够全部正确执行,如果这一组操作中的任意一个步骤发生...
递归的思想
RookieMZL 的博客
04-20 2073
1、递归的思想 **递归:**指在当前方法内调用自己的这种现象。 递归的分类: 递归分为两种,直接递归和间接递归。 直接递归称为方法自身调用自己。 间接递归可以A方法调用B方法,B方法调用C方法,C方法调用A方法。 注意事项: 递归一定要有条件限定,保证递归能够停止下来,否则会发生栈内存溢出。 在递归中虽然有限定条件,但是递归次数不能太多。否则也会发生栈内存溢出。 构造方法,禁止递归 2、...
使用 SpringBoot 配置发送邮件功能
RookieMZL 的博客
05-19 1286
1、使用 SpringBoot 配置发送邮件功能 项目总体结构 用户表设计 SET FOREIGN_KEY_CHECKS=0; CREATE DATABASE sample; USE sample; set names utf8; -- ---------------------------- -- Table structure for tab_mail -- --------------...
SSM基本配置
RookieMZL 的博客
05-31 962
1. 首先从web.xml配置入手 A: &amp;amp;lt;!-- spring的监听器 --&amp;amp;gt; &amp;amp;lt;listener&amp;amp;gt; &amp;amp;lt;listener-class&amp;amp;gt;org.springframework.web.context.ContextLoaderListener&amp;amp;lt;/listener-cla
单机单卡分布式运行和单机多卡分布式运行区别
06-01
单机单卡分布式运行和单机多卡分布式运行都是将一台计算机的资源进行分布式利用的方式,但它们之间有一些区别: 1. 使用的设备数量不同:单机单卡分布式运行只使用一台计算机上的一张显卡进行计算,而单机多卡...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值