Redis实战篇1：实现短信登录注册

说明

        该实战篇基于某马的Redis课程中的《黑马点评项目》，但是无法做到每一次都要讲很多前置代码然后一步一步推导到最佳方案，本文对于前置推导过程只会讲解思路，对于最佳方案会讲解思路以及代码流程。

        本实战篇中心思想就是把项目中的实战抽象成一个个的知识点进行讲解，让初学者达到举一反三的地步而不是只会照着视频敲代码而不去独立思考为什么要这么做。

        关于项目代码请移步到 某马程序员公众号，回复Redis获取。

 一、一些前置运行原理的解读

1.1、Tomcat

        当用户发起请求时，会访问我们向tomcat注册的端口，任何程序想要运行，都需要有一个线程对当前端口号进行监听，tomcat也不例外，当监听线程知道用户想要和tomcat连接连接时，那会由监听线程创建socket连接，socket都是成对出现的，用户通过socket像互相传递数据，当tomcat端的socket接受到数据后，此时监听线程会从tomcat的线程池中取出一个线程执行用户请求，在我们的服务部署到tomcat后，线程会找到用户想要访问的工程，然后用这个线程转发到工程中的controller，service，dao中，并且访问对应的DB，在用户执行完请求后，再统一返回，再找到tomcat端的socket，再将数据写回到用户端的socket，完成请求和响应。
        通过以上讲解，我们可以得知 每个用户其实对应都是去找tomcat线程池中的一个线程来完成工作的， 使用完成后再进行回收，既然每个请求都是独立的，所以在每个用户去访问我们的工程时，我们可以使用threadlocal来做到线程隔离，每个线程操作自己的一份数据。

1.2、threadlocal

        如果看过threadLocal的源码，你会发现在threadLocal中，无论是他的put方法和他的get方法， 都是先从获得当前用户的线程，然后从线程中取出线程的成员变量map，只要线程不一样，map就不一样，所以可以通过这种方式来做到线程隔离。

二、实现短信登录注册

2.1、基于Session实现登录流程

发送验证码：

用户在提交手机号后，会校验手机号是否合法，如果不合法，则要求用户重新输入手机号。

如果手机号合法，后台此时生成对应的验证码，同时将验证码进行保存，然后再通过短信的方式将验证码发送给用户。

短信验证码登录、注册：

用户将验证码和手机号进行输入，后台从session中拿到当前验证码，然后和用户输入的验证码进行校验，如果不一致，则无法通过校验，如果一致，则后台根据手机号查询用户，如果用户不存在，则为用户创建账号信息，保存到数据库，无论是否存在，都会将用户信息保存到session中，方便后续获得当前登录信息。

校验登录状态:

用户在请求时候，会从cookie中携带者JsessionId到后台，后台通过JsessionId从session中拿到用户信息，如果没有session信息，则进行拦截，如果有session信息，则将用户信息保存到threadLocal中，并且放行。

 小节：关于这部分内容，观看流程图就很容易掌握，没有难点，就不过多赘述了。

具体逻辑上文已经分析，我们仅仅只需要按照提示的逻辑写出代码即可。

• 发送验证码

  •     @Override
        public Result sendCode(String phone, HttpSession session) {
            // 1.校验手机号
            if (RegexUtils.isPhoneInvalid(phone)) {
                // 2.如果不符合，返回错误信息
                return Result.fail("手机号格式错误！");
            }
            // 3.符合，生成验证码
            String code = RandomUtil.randomNumbers(6);
    
            // 4.保存验证码到 session
            session.setAttribute("code",code);
            // 5.发送验证码
            log.debug("发送短信验证码成功，验证码：{}", code);
            // 返回ok
            return Result.ok();
        }

• 登录

  •   @Override
        public Result login(LoginFormDTO loginForm, HttpSession session) {
            // 1.校验手机号
            String phone = loginForm.getPhone();
            if (RegexUtils.isPhoneInvalid(phone)) {
                // 2.如果不符合，返回错误信息
                return Result.fail("手机号格式错误！");
            }
            // 3.校验验证码
            Object cacheCode = session.getAttribute("code");
            String code = loginForm.getCode();
            if(cacheCode == null || !cacheCode.toString().equals(code)){
                 //3.不一致，报错
                return Result.fail("验证码错误");
            }
            //一致，根据手机号查询用户
            User user = query().eq("phone", phone).one();
    
            //5.判断用户是否存在
            if(user == null){
                //不存在，则创建
                user =  createUserWithPhone(phone);
            }
            //7.保存用户信息到session中，注意不要直接保存user类 否则会透露敏感信息
            session.setAttribute("user", BeanUtils.copyProperties(user,UserDTO.class));
            return Result.ok();
        }

2.2、登录拦截功能 

        为什么要有登录拦截功能，因为用户在操作系统的时候，有一些敏感数据不能向未登录的用户展示，所以需要判断用户是否登录，而又不能再每一个controller方法中都判断用户是否登录，这种有相同行为模式的方法我们可以把他们抽出来做成一个方法，这个方法就是拦截器，我们拦截绝大部分的请求来判断是否有用户登录，选择拦截还是放行，这就是登录拦截功能的作用。

 

• UserHolder

  • public class UserHolder {
        private static final ThreadLocal<UserDTO> tl = new ThreadLocal<>();
    
        public static void saveUser(UserDTO user){
            tl.set(user);
        }
    
        public static UserDTO getUser(){
            return tl.get();
        }
    
        public static void removeUser(){
            tl.remove();
        }
    }

• 拦截器

  • public class LoginInterceptor implements HandlerInterceptor {
    
        @Override
        public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
           //1.获取session
            HttpSession session = request.getSession();
            //2.获取session中的用户
            Object user = session.getAttribute("user");
            //3.判断用户是否存在
            if(user == null){
                  //4.不存在，拦截，返回401状态码
                  response.setStatus(401);
                  return false;
            }
            //5.存在，保存用户信息到Threadlocal
            UserHolder.saveUser((UserDTO) user);
            //6.放行
            return true;
        }
    }

• 配置拦截器生效

  • @Configuration
    public class MvcConfig implements WebMvcConfigurer {
        @Override
        public void addInterceptors(InterceptorRegistry registry) {
            // 登录拦截器
            registry.addInterceptor(new LoginInterceptor())
                    .excludePathPatterns(
                            "/shop/**",
                            "/voucher/**",
                            "/shop-type/**",
                            "/upload/**",
                            "/blog/hot",
                            "/user/code",
                            "/user/login"
                    );
        }
    }

到目前为止，普通情况下的短信登录注册功能就结束了，接下来思考一下为什么要用到Redis？ 

一、MySQL并发承载不高       

        手机或者app端发起请求，请求我们的nginx服务器，nginx基于七层模型走的事HTTP协议，可以实现基于Lua直接绕开tomcat访问redis，也可以作为静态资源服务器，轻松扛下上万并发， 负载均衡到下游tomcat服务器，打散流量，我们都知道一台4核8G的tomcat，在优化和处理简单业务的加持下，大不了就处理1000左右的并发， 经过nginx的负载均衡分流后，利用集群支撑起整个项目，同时nginx在部署了前端项目后，更是可以做到动静分离，进一步降低tomcat服务的压力，这些功能都得靠nginx起作用，所以nginx是整个项目中重要的一环。

        在tomcat支撑起并发流量后，我们如果让tomcat直接去访问Mysql，根据经验Mysql企业级服务器只要上点并发，一般是16或32 核心cpu，32 或64G内存，像企业级mysql加上固态硬盘能够支撑的并发，大概就是4000起~7000左右，上万并发， 瞬间就会让Mysql服务器的cpu，硬盘全部打满，容易崩溃，所以我们在高并发场景下，会选择使用mysql集群，同时为了进一步降低Mysql的压力，同时增加访问的性能，我们也会加入Redis，同时使用Redis集群使得Redis对外提供更好的服务。

二、session共享问题

        每个tomcat中都有一份属于自己的session,假设用户第一次访问第一台tomcat，并且把自己的信息存放到第一台服务器的session中，但是第二次这个用户访问到了第二台tomcat，那么在第二台服务器上，肯定没有第一台服务器存放的session，所以此时 整个登录拦截功能就会出现问题，我们能如何解决这个问题呢？早期的方案是session拷贝，就是说虽然每个tomcat上都有不同的session，但是每当任意一台服务器的session修改时，都会同步给其他的Tomcat服务器的session，这样的话，就可以实现session的共享了

但是这种方案具有两个大问题：

        1、每台服务器中都有完整的一份session数据，服务器压力过大。

        2、session拷贝数据时，可能会出现延迟

所以咱们后来采用的方案都是基于redis来完成，我们把session换成redis，redis数据本身就是共享的，就可以避免session共享的问题了

三、基于Redis实现短信登录注册功能

3.1、设计key的结构

        首先我们要思考一下利用redis来存储数据，那么到底使用哪种结构呢？由于存入的数据比较简单，我们可以考虑使用String，或者是使用哈希，如下图，如果使用String，注意他的value，多占用一点空间，如果使用哈希，则他的value中只会存储他数据本身，如果不是特别在意内存，使用String就可以。

3.2、设计Key的细节

我们可以使用String结构，就是一个简单的key，value键值对的方式，但是关于key的处理，session的特点是他是每个用户的线程都有自己的独立的session，所以在session中使用code作为key是没有问题的，但是redis的key是共享的，咱们就不能使用code作为key了

在设计这个key的时候，我们之前讲过需要满足两点

1、key要具有唯一性

2、key要方便携带

如果我们采用phone：手机号这个的数据来存储当然是可以的，但是如果把这样的敏感数据存储到redis中并且从页面中带过来毕竟不太合适，所以我们在后台生成一个随机串token，然后让前端带来这个token就能完成我们的整体逻辑了

3.3、整体访问流程

1. 用户去登录会去校验用户提交的手机号和验证码，是否一致
2. 如果一致，则根据手机号查询用户信息，不存在则新建
3. 最后将用户数据保存到redis，并且生成token作为redis的key
4. 当我们校验用户是否登录时，会去携带着token进行访问
5. 从redis中取出token对应的value，判断是否存在这个数据
6. 如果没有则拦截
7. 如果存在则将其保存到threadLocal中，并且放行。

总结来讲我们需要干什么： 

1. 输入手机号生产验证码，将以手机号为key，验证码为value的键值对写入到redis中
2. 登录界面输入手机号以及验证码，根据以手机号为key去redis中查是否有value以及value的值与用户传递的验证码是否匹配
3. 如果匹配则根据手机号去mysql中查询相关用户，如果没有则新建用户到数据库中，如果有手机号相关的信息，则生产一个token
4. 然后以token为key，查询/新增的用户信息为value存入到redis中

以下步骤为登录校验步骤：

1. 用户在请求其他功能时候会触发拦截器，此时拦截器需要拦截登录状态
2. 查看请求是否携带token，如果携带token，则以token为key去redis中查询value
3. 判断value是否存在，如果存在则写入到ThreadLocal中然后放行
4. 如果不存在value则拦截

@Override
public Result login(LoginFormDTO loginForm, HttpSession session) {
    // 1.校验手机号
    String phone = loginForm.getPhone();
    if (RegexUtils.isPhoneInvalid(phone)) {
        // 2.如果不符合，返回错误信息
        return Result.fail("手机号格式错误！");
    }
    // 3.从redis获取验证码并校验
    String cacheCode = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY + phone);
    String code = loginForm.getCode();
    if (cacheCode == null || !cacheCode.equals(code)) {
        // 不一致，报错
        return Result.fail("验证码错误");
    }

    // 4.一致，根据手机号查询用户 select * from tb_user where phone = ?
    User user = query().eq("phone", phone).one();

    // 5.判断用户是否存在
    if (user == null) {
        // 6.不存在，创建新用户并保存
        user = createUserWithPhone(phone);
    }

    // 7.保存用户信息到 redis中
    // 7.1.随机生成token，作为登录令牌
    String token = UUID.randomUUID().toString(true);
    // 7.2.将User对象转为HashMap存储
    UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
    Map<String, Object> userMap = BeanUtil.beanToMap(userDTO, new HashMap<>(),
            CopyOptions.create()
                    .setIgnoreNullValue(true)
                    .setFieldValueEditor((fieldName, fieldValue) -> fieldValue.toString()));
    // 7.3.存储
    String tokenKey = LOGIN_USER_KEY + token;
    stringRedisTemplate.opsForHash().putAll(tokenKey, userMap);
    // 7.4.设置token有效期
    stringRedisTemplate.expire(tokenKey, LOGIN_USER_TTL, TimeUnit.MINUTES);

    // 8.返回token
    return Result.ok(token);
}

在这里我们可以看到7.4步骤有一个设置了过期时间，为什么要设置过期时间呢？

        Redis是基于内存的存储，他的容量不可能做到基于硬盘那么大，所以如果一个用户长时间没有活动，那么就应该在Redis中删除这个用户的信息，首先程序无法自主判断这个用户是否长时间没有活动，所以我们就只能对key设置一个固定的过期时间，这样到了时间之后，他自然而然的就被删除了。

        然后问题也会随之到来，假设我设了30分钟，那么一到30分钟这个key就会被强制删除，而此时用户也许还正在使用系统，这样肯定是不行的，所以我们要经常性的去刷新这个key的过期时间。

        如何刷新过期时间？我们第一个想到的应该就是使用拦截器，只要是拦截到这个用户的请求，我们就重新刷新这个用户key的过期时间。

        前文中我们已经写过一个拦截器了，如果将刷新token时间的逻辑写在那个拦截器中是肯定要出问题的，因为那个拦截器有一些访问路径是没有拦截的，如果用户在30分钟之内只请求了那些不需要拦截的路径，依旧不会刷新token。

        所以最终的解决方案是在写一个全局拦截器，拦截所有的路径

        在第一个拦截器中拦截所有的路径，把第二个拦截器做的事情放入到第一个拦截器中，同时刷新令牌，因为第一个拦截器有了threadLocal的数据，所以此时第二个拦截器只需要判断拦截器中的user对象是否存在即可，完成整体刷新功能。

四、全流程代码实现业务，逐个逻辑分析

整体的逻辑前面以及讲过了，我们这里演示一下从获取验证码到登录的整个流程代码，从最先触发到最后触发的都是哪个类。

4.1、两个拦截器以及拦截器的配置

• 第一个拦截器
  • 这里会发现无论是否在请求头中携带了token都放行了，因为还有一些不需要登录的接口可以查询，所以都放行，在第二个拦截器拦截需要登录的接口

  •     @Override
        public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
            //1. 获取请求头中的token
            String token = request.getHeader("authorization");
            if(token==null || "".equals(token)) {
                return true;
            }
            //3. 基于token获取redis中的用户
            Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(RedisConstants.LOGIN_USER_KEY + token);
            //4. 判断用户是否存在
            if(userMap.isEmpty()) {
                return true;
            }
            // 6. 将查询到的hashmap结构转化为userDto
            UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);
            //7. 保存用户到ThreadLocal中
            UserHolder.saveUser(userDTO);
            //8. 刷新token的有效期
            stringRedisTemplate.expire(RedisConstants.LOGIN_USER_KEY + token,RedisConstants.LOGIN_USER_TTL, TimeUnit.MINUTES);
            return true;
        }

• 第二个拦截器
  • 这个拦截器会根据配置判断哪些请求路径需要拦截，哪些不需要拦截，如果请求到了需要拦截的路径，就会判断ThreadLocal中有无用户，如果有就放行，没有就拦截

  • @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //判断是否需要拦截
        if(UserHolder.getUser()==null){
            response.setStatus(401);
            return false;
        }
        //有用户：放行
        return true;
    }

• 拦截器配置

  • @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new RefreshInterceptor(stringRedisTemplate)).addPathPatterns("/**").order(0);
        registry.addInterceptor(new Logininterceptor())
                .excludePathPatterns(
                  "/user/code", "/user/login", "/blog/hot",
                  "shop/**", "/shop-type/**",
                  "voucher/**"
                ).order(1);
    }

4.2、使用手机号登录 

• 输入手机号获取验证码，以phone为key，验证码为value存入redis

  • @Override
    public Result sendCode(String phone, HttpSession session) {
        // 1. 校验手机号
        if(RegexUtils.isPhoneInvalid(phone)){
            // 2.如果不符合返回错误信息
            return Result.fail("手机号码格式错误！！");
        }
        // 3.如果符合生成验证码
        String code = RandomUtil.randomNumbers(6);
        // 4.保存验证码到redis
        stringRedisTemplate.opsForValue().set(RedisConstants.LOGIN_CODE_KEY+phone, code,2, TimeUnit.MINUTES);
        // 5.发送验证码
        log.debug("发送短信验证码成功，验证码为：{}",code);
        // 6.返回ok
        return Result.ok();
    }

• 点击登录后进入到登录路径

  • @Override
    public Result login(LoginFormDTO loginForm, HttpSession session) {
        //1. 校验手机号
        String phone = loginForm.getPhone();
        if(RegexUtils.isPhoneInvalid(phone)){
            // 2.如果不符合返回错误信息
            return Result.fail("手机号码格式错误！！");
        }
        //2.5. 从redis中获取验证码
        //Object cacheCode = session.getAttribute("code");
        String cacheCode = stringRedisTemplate.opsForValue().get(RedisConstants.LOGIN_CODE_KEY + phone);
        //3. 不一致报错
        String code = loginForm.getCode();
        if(cacheCode == null || !code.equals(cacheCode.toString())){
            return Result.fail("验证码错误");
        }
        //4.一致，根据手机号查用户
        User user = query().eq("phone", phone).one();
        //5.判断用户是否存在
        if(user == null){
            //6.不存在 创建用户并且保存
           user = createUserWithPhone(phone);
        }
        // 7. 保存用户信息到redis
        //session.setAttribute("user", BeanUtil.copyProperties(user, UserDTO.class));
        // 7.1 生成随机的token
        String token = UUID.randomUUID().toString(true);
        UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
        //7.2 将user转化为map 用的是hutool的工具包 非常的麻烦 还是自己写一个MAP吧
        Map<String, Object> userDTOMap1 = BeanUtil.beanToMap(userDTO,new HashMap<>(),
                CopyOptions.create()
                        .setIgnoreNullValue(true)
                        .setFieldValueEditor((fieldName,fieldValue) -> fieldValue.toString())
        );
        // 7.2 自己写的将user转化为map
        Map<String, Object> userDTOMap2 = new HashMap<>();
        userDTOMap2.put("id", userDTO.getId().toString());
        userDTOMap2.put("nickName",userDTO.getNickName());
        userDTOMap2.put("icon",userDTO.getIcon());
        // 7.3存贮到redis中
        String key = RedisConstants.LOGIN_USER_KEY + token;
        stringRedisTemplate.opsForHash().putAll(key,userDTOMap2);
        //7.4 设置redis中token的有效期
        stringRedisTemplate.expire(key,RedisConstants.LOGIN_USER_TTL,TimeUnit.MINUTES);
        //8 返回token
        return Result.ok(token);
    }

• 拦截器拦截
  • 到这一步登录结束，访问任何路径后都会回到上一个拦截器讲的第一个拦截器去判断是否有无用户，没有用户就进入到第二个拦截器判断是否需要拦截，如果有用户就刷新token的时间，然后进入到第二个拦截器放行。

Redis实战篇1：实现短信登录注册到此结束，理解逻辑才是你学好代码的根本。