问题提出
先上一段登出接口的代码
@Override
public void logout(String tgt) throws Exception {
try {
//设置tgt无效
customTicketRegistry.delTGT(tgt);
LoginInfo result = getLoginInfo();
if (result != null && tgt.equals(getSession().getAttribute(SessionVariable.GY_TGT))) {
//发送记录登出日志消息
sendSysLogMsgService.sendMsg(SaveSysLogParam saveSysLogParam);
}
} catch (Exception e) {
throw e;
} finally {
this.getSession().invalidate();
}
}
咋一看代码没有任何问题有没有,但是当测试提了一个BUG如图;
一次登录两次登出???怀疑人生了的感觉。
即将喷薄而出的话语“卧槽,这不是BUG,这是前端的BUG吧。前端肯定多次调用了登出接口”。但是从后端实现上来说,我们接口实现也有问题,登出接口没有做幂等性处理。
问题分析
代码的登出流程简单:
销毁tgt->获取session中的用户->记录登出日志->session设置无效
假如在一个已经登录的浏览器上同时多次发送登出请求,会同时有多个线程执行logout的逻辑,这时候如果delTgt(String tgt)方法未做幂等,那么在任意线程执行this.session.invalidate()方法前,能够执行getLoginInfo()方法的线程,肯定都会发送一条记录日志的mq消息。这样子就会产生多条登出日志。看下delTGT(String tgt),果然如猜想没做幂等。
/**
* 删除tgt
* @param ticketGrantingTicket
*/
public void delTGT(final String ticketGrantingTicket) {
//删除tgt操作,此处省略掉代码
} catch (IOException e) {
LOG.error(e.getMessage());
} finally {
delete.releaseConnection();
}
}
问题解决
方案1:同一个tgt的两次delTGT(String tgt),肯定要先判断tgt的状态,如果已经被删除了,抛出异常即可,使程序终止,如下图将异常抛出即可。
/**
* 删除tgt
* @param ticketGrantingTicket
*/
public void delTGT(final String ticketGrantingTicket) {
//删除tgt操作,此处省略掉代码
} catch (IOException e) {
throw e;
} finally {
delete.releaseConnection();
}
}
方案2:如果delTGT(String tgt)方法封装起来不能修改了,那么可以通过同步方式:让一个线程执行到logout的最后一步,其他线程等待:即this.getSession().invalidate();其他线程请求才能够被处理。如下改写代码,给tgt加锁便可达到效果
@Override
public void logout(String tgt) throws Exception {
//同步tgt的登出,防止多次操作tgt
synchronized (tgt.intern()){
try {
//设置tgt无效
customTicketRegistry.delTGT(tgt);
LoginInfo result = getLoginInfo();
if (result != null && tgt.equals(getSession().getAttribute(SessionVariable.GY_TGT))) {
//发送记录登出日志消息
sendSysLogMsgService.sendMsg(SaveSysLogParam saveSysLogParam);
}
} catch (Exception e) {
throw e;
} finally {
this.getSession().invalidate();
}
}
}
采用方案2,修改好代码后,迫不及待的发布到服务器上进行测试:一切正常