黑马点评-02使用Redis代替session,Redis + token机制实现

已于 2023-12-14 10:16:55 修改
阅读量919 收藏 9
点赞数 4
分类专栏: 黑马点评 文章标签: redis spring java
于 2023-10-06 22:47:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57005976/article/details/133623478
版权

Redis代替session

session共享问题

每个Tomcat中都有一份属于自己的session,所以多台Tomcat并不共享session存储空间,当请求切换到不同tomcat服务时可能会导致数据丢失

用户第一次访问1号tomcat并把自己的信息存放session域中, 如果第二次访问到了2号tomcat就无法获取到在1号服务器存放的信息,导致登录拦截功能会出问题

session拷贝: 每当任意一台服务器的session修改时,都会同步给其他的Tomcat服务器的session实现session的共享

  • 每台服务器中都有完整的一份session数据导致服务器压力过大
  • session拷贝数据时,可能会出现延迟

使用Redis替换session可以实现服务器共享数据的问题

  • redis的三大特点: 数据共享(所有的服务器都可以在里面查询数据),内存存储(高性能),键值对的存储结构
    在这里插入图片描述

存储用户信息key的结构

如果存入的数据(登陆用户的信息)比较简单,可以考虑使用Redis的String或hash结构存储数据

  • String结构: 使用JSON字符串来保存登录的用户信息,信息比较直观但不易修改数据, 并且会额外的存储一些字符占用内存

在这里插入图片描述

  • Hash结构: 将对象中的每个属性独立存储,既可以针对单个字段做CRUD, 内存占用少只会存储数据本身不用保存序列化对象信息或者JSON的一些额外字符串

在这里插入图片描述

基于Redis实现短信登录

Redis的key是共享的,key要具有唯一性避免其他服务器在存储数据的时候出现key重复value覆盖的问题,用户发起请求时key还要方便携带

在这里插入图片描述

第一步: 修改sendCode方法,验证码不再保存到session中而是保存到Redis中(手机号作为key),验证码需要设置一个有效期节省Redsi内存

 public static final String LOGIN_CODE_KEY = "login:code:";
 public static final Long LOGIN_CODE_TTL = 2L;

// 自动注入StringRedisTemplate客户端操作Redis
@Autowired
private StringRedisTemplate stringRedisTemplate;
@Override
public Result sendCode(String phone, HttpSession session) throws MessagingException {
    // 验证邮箱的格式
    if (RegexUtils.isEmailInvalid(phone)) {
        return Result.fail("邮箱格式不正确");
    }
    // 生成验证码并保存到Redis,执行set key value ex 120
    String code = MailUtils.achieveCode();
    stringRedisTemplate.opsForValue().set(LOGIN_CODE_KEY + phone, code, LOGIN_CODE_TTL, TimeUnit.MINUTES);
    log.info("发送登录验证码:{}", code);
    // 发送验证码,注意子类继承的方法不能比父类抛出更多的异常
    MailUtils.sendTestMail(phone, code);
    return Result.ok();
}

第二步: 修改login方法,将用户信息都存储到Redis中

  • 校验验证码时从Redis中获取验证码
  • 存储用户信息时不再是存储到session中,而是随机生成一个token(登录令牌)作为key,将用户信息转换为HashMap对象存储到Redis的Hash结构中
  • 使用StringRedisTemplate向Redis中存数据时要求key和value都是String类型,所以将对象的每个属性转换成Map集合的元素时要求key和value都是String类型
public static final String LOGIN_USER_KEY = "login:token:";
public static final Long LOGIN_USER_TTL = 30L;

@Override
public Result login(LoginFormDTO loginForm, HttpSession session) { 
    // 1.校验手机号
    String phone = loginForm.getPhone();
    if (RegexUtils.isPhoneInvalid(phone)) {
        // 2.如果不符合,返回错误信息
        return Result.fail("手机号格式错误!");
    }
    // 3.从redis获取验证码并和用户提交的验证码校验比对
    String cacheCode = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY + phone);
    String code = loginForm.getCode();
    if (cacheCode == null || !cacheCode.equals(code)) {
        // 不一致则报错
        return Result.fail("验证码错误");
    }

    // 4.验证码一致则根据手机号查询用户select * from tb_user where phone = ?
    User user = query().eq("phone", phone).one();

    // 5.判断用户是否存在
    if (user == null) {
        // 6.不存在,创建新用户并保存
        user = createUserWithPhone(phone);
    }

    // 7.保存用户信息到redis中
    // 7.1.随机生成token作为登录令牌
    String token = UUID.randomUUID().toString(true);
    // 7.2.将UserDTO对象的属性转为HashMap集合中的元素,这样一次可以存储多个键值对
    UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
    // 手动将UserDTO的每个属性及其值都转化为String类型并存储到HashMap集合
    HashMap<String, String > userMap = new HashMap<>();
    userMap.put("icon", userDTO.getIcon());
    userMap.put("id", String.valueOf(userDTO.getId()));
    userMap.put("nickName", userDTO.getNickName());
    // 使用万能工具类将userDTO对象的属性转化为HashMap集合中的元素,创建CopyOptions用来自定义key和value的类型    
    Map<String, Object> userMap = BeanUtil.beanToMap(userDTO, new HashMap<>(),
            CopyOptions.create()
                    .setIgnoreNullValue(true)
                    .setFieldValueEditor((fieldName, fieldValue) -> fieldValue.toString()));
    // 7.3.调用putAll方法将HashMap集合存储到Redis当中
    String tokenKey = LOGIN_USER_KEY + token;
    stringRedisTemplate.opsForHash().putAll(tokenKey, userMap);
    // 7.4.设置tokenKey有效期为30分钟
    stringRedisTemplate.expire(tokenKey, LOGIN_USER_TTL, TimeUnit.MINUTES);
    // 7.5 登陆成功则删除验证码信息
    stringRedisTemplate.delete(LOGIN_CODE_KEY + phone);
    // 8.返回token
    return Result.ok(token);
}

第三步:前端将后端返回的token保存到浏览器当中

login(){
    if(!this.radio){
        this.$message.error("请先确认阅读用户协议!");
        return
    }
    if(!this.form.phone || !this.form.code){
        this.$message.error("手机号和验证码不能为空!");
        return
    }
    axios.post("/user/login", this.form)
        .then(({data}) => { // data是后端随机生成的token
        if(data){
            // 保存taken到浏览器当中
            sessionStorage.setItem("token", data);
        }
        // 跳转到首页,info.html是用户详情页
        location.href = "/index.html"
    })
}

// request拦截器,每次发请求都会将用户token放入请求头中
let token = sessionStorage.getItem("token");
axios.interceptors.request.use(
    config => {
        if(token) config.headers['authorization'] = token
        return config
    },
)

登录状态刷新问题

我们保存到Redis中的tokenKey的有效期为30分钟,在这段时间内根据用户有无操作决定是否刷新tokenKey的有效期

  • 如果用户有操作就需要刷新tokenKey的有效期,如果用户没有任何操作30分钟后tokenKey会消失,此时登录校验时就无法获取登录用户的信息,用户需要重新登录

在这里插入图片描述

第一步: 修改登陆拦截器,通过拦截器拦截到的请求来证明用户是否在操作

public class LoginInterceptor implements HandlerInterceptor {
    //@Autowired,这里不能自动装配,因为LoginInterceptor是我们手动在WebConfig里new出来的并不受容器的管理
    private StringRedisTemplate stringRedisTemplate;
    public LoginInterceptor(StringRedisTemplate stringRedisTemplate) {
        this.stringRedisTemplate = stringRedisTemplate;
    }
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //1. 获取请求头中的token
        String token = request.getHeader("authorization");
        //2. 如果token是空表示未登录需要拦截
        if (StrUtil.isBlank(token)) {
            response.setStatus(401);
            return false;
        }
        //3. 基于token作为key获取Redis的Hash结构中保存的用户数据,返回的是一个Map集合
        String key = RedisConstants.LOGIN_USER_KEY + token;
        Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(key);
        //4. 判断Map集合中有没有元素,没有则拦截
        if (userMap.isEmpty()) {
            response.setStatus(401);
            return false;
        }
        //5. 将查询到的Hash结构的数据转化为UserDto对象,fasle表示不忽略转化时的错误 
        UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);
        //6. 将用户信息保存到UserHolder类的ThreadLocal中
        UserHolder.saveUser(userDTO);
        //7. 刷新token有效期为30分钟
        stringRedisTemplate.expire(key, RedisConstants.LOGIN_USER_TTL, TimeUnit.MINUTES);
        //8. 放行
        return true;
    }
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // 移除用户
        UserHolder.removeUser();
    }
}

第二步: 在配置类MvcConfig注册拦截器使其生效

@Configuration
public class MvcConfig implements WebMvcConfigurer {
    @Autowired
    private StringRedisTemplate stringRedisTemplate;
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注册登录拦截器
        registry.addInterceptor(new LoginInterceptor(stringRedisTemplate))
            .excludePathPatterns(// 排除不需要拦截的路径
            "/user/code",
            "/user/login",
            "/blog/hot",
            "/shop/**",
            "/shop-type/**",
            "/upload/**",
            "/voucher/**"
        );
    }
}

登陆状态刷新优化

LoginInterceptor拦截器只能拦截需要登陆校验的路径,若当前用户访问了一些不会被拦截的路径,此时登录拦截器就不会生效,那么令牌刷新动作也就不会执行

在这里插入图片描述

第一步: 编写RefreshTokenInterceptor拦截器拦截所有路径: 负责基于token获取用户信息,然后保存用户的信息到ThreadLocal当中,同时刷新令牌的有效期

public class RefreshTokenInterceptor implements HandlerInterceptor {
    // 这里并不是自动装配,因为RefreshTokenInterceptor是我们手动在WebConfig里new出来的
    private StringRedisTemplate stringRedisTemplate;
    // 构造方法
    public RefreshTokenInterceptor(StringRedisTemplate stringRedisTemplate) {
        this.stringRedisTemplate = stringRedisTemplate;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 1.获取请求头中的token
        String token = request.getHeader("authorization");
        if (StrUtil.isBlank(token)) {
            return true;
        }
        // 2.基于token获取redis中的用户信息
        String key  = LOGIN_USER_KEY + token;
        Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(key);
        // 3.判断用户是否存在
        if (userMap.isEmpty()) {
            // 用户不存在也放行交给LoginInterceptor处理
            return true;
        }
        // 5.将从Redis中查询到的Hash结构的数据转为UserDTO对象,fasle表示不忽略转化时的错误
        UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);
        // 6.将用户信息保存到UserHolder类的ThreadLocal中
        UserHolder.saveUser(userDTO);
        // 7.刷新token有效期为30分钟
        stringRedisTemplate.expire(key, LOGIN_USER_TTL, TimeUnit.MINUTES);
        // 8.放行
        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // 移除用户
        UserHolder.removeUser();
    }
}

第二步: 修改LoginInterceptor登陆拦截器只负责登录校验,即只需要判断UserHolder类的ThreadLocal中是否存在用户信息,存在放行不存在则拦截

public class LoginInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 判断UserHolder类的ThreadLocal中是否有用户
        if (UserHolder.getUser() == null) {
            // 用户信息不存在则拦截并设置状态码
            response.setStatus(401);
            return false;
        }
        // 用户信息存在则放行
        return true;
    }
}

第二步: 在配置类MvcConfig注册两个拦截器,并设置它们的执行顺序和拦截路径

  • 拦截器的执行顺序默认按照添加的顺序执行,但也可以由order来指定顺序(数字越小优先级越高),另外如果拦截器未设置拦截路径则默认是拦截所有路径
@Configuration
public class MvcConfig implements WebMvcConfigurer {
    //自动装配
    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注册登录拦截器
        registry.addInterceptor(new LoginInterceptor())
                .excludePathPatterns(
                        "/user/code",
                        "/user/login",
                        "/blog/hot",
                        "/shop/**",
                        "/shop-type/**",
                        "/upload/**",
                        "/voucher/**"
                ).order(1);        
        // 注册刷新token的拦截器,RefreshTokenInterceptor是我们手动new出来的,只能通过构造方法为其注入StringRedisTemplate
        //registry.addInterceptor(new RefreshTokenInterceptor(stringRedisTemplate)).addPathPatterns("/**").order(0);
        registry.addInterceptor(new RefreshTokenInterceptor(stringRedisTemplate)).order(0);

    }
}
echo 云清
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot+Redis 扛住,瞬间千次重复提交
KHOST的博客
06-23 789
作者:慕容千语 来源:http://suo.im/5PaEZI 前言: 在实际的开发项目中,一个对外暴露的接口往往会面临,瞬间大量的重复的请求提交,如果想过滤掉重复请求造成对业务的伤害,那就需要实现幂等! 我们来解释一下幂等的概念: 任意多次执行所产生的影响均与一次执行的影响相同。按照这个含义,最终的含义就是 对数据库的影响只能是一次性的,不能重复处理。 如何保证其幂等性,通常有以下手段: 1、数据库建立唯一性索引,可以保证最终插入数据库的只有一条数据2、token机制,每次接口请...
Redis应用(2)实现session共享
w_t_y_y的博客
09-21 1608
新建两个工程,一个部署在本地8080端口,一个部署在本地9090端口,两个配置到一个redis上 一、8080端口工程: 1、pom: <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocatio...
一个轻量级 Java 权限认证框架
04-22
一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!—— 登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0
Redis中缓存用户Token的推荐方法
最新发布
jakelihua
04-25 492
字符串数据结构在Redis中用于存储简单的键值对,是最基本的数据类型。由于Token本质上是键(用户ID或会话ID)和值(Token字符串)的映射,字符串类型非常适合这一用途。使用string类型与使用Hash类型的对比表格。
Redis如何做token缓存
不愧是暮言的博客
05-09 2562
除了缓存token,我们还可以使用Redis做更多的事情,比如计数器、排行榜等。由于Redis是一个内存数据库,它的读取速度非常快,因此可以用于缓存高频读取的数据。而且,Redis是一个开源的数据库,它可以轻松地分布式部署,支持数据备份和恢复,还可以提供多种数据结构以适应不同的业务需求。此外,我们还可以使用Redis实现缓存穿透、缓存雪崩、缓存击穿等问题的解决方案。在实际开发中,我们要考虑到缓存的安全性、一致性等问题,以保证应用的性能和可靠性。最后,附上本文的完整代码,供读者参考。
redis存储token实现登录模块(SpringBoot)
小菜鸡叽叽叽
08-02 5276
redis存储token实现登录模块(SpringBoot)
redis+token实现登录校验,前后端分离,及解跨域问题的4种方法
qi341500的博客
02-15 2868
一、使用自定义filter实现跨域 1、客户端向服务端发送请求 2、服务端做登录验证了,并生成登路用户对应的token,保存到redis 3、响应(报错)-----跨域问题 4、解决跨域问题--------服务器端添加过滤器,设置请求头 5、重新登录正确响应 6、客户端登redis录后访问页面,需要经过拦截器验证登录状态 7、编写拦截器 二、在任意配置类,返回一个 新的 CorsFIlter Bean 三、使用注解 (局部跨域) 四、手动设置响应头(局部跨域)
结合Redis基于Token机制处理接口幂等性问题
LY514094904的博客
08-15 675
拦截器会拦截请求,我们只需获取添加了自定义注解的接口即可,获取接口之后校验token令牌,如果存在则放行,不存在则说明多次发送参数相同的同一请求(注意:第一次发送请求时会从redis中删除token并放行,之后再次请求redis中将不存在该token),从请求头或请求参数中获取token信息,如果没有获取token令牌,则抛出异常,说明token没有发送过来,接着判断token是否存在,如果不存在则不再往下进行逻辑处理如果存在则删除,下一次请求访问时就不用继续往下进行逻辑处理。
tomcat-cluster-redis-session-manager:Tomcat集群Redis会话管理器Java客户端
05-11
请求会话将立即存储到Redis中(会话属性必须是可序列化的),以供其他服务器使用。 当tomcat从客户端收到请求时,将直接从Redis加载会话。 支持Redis默认,哨兵和集群模式(基于配置)。 展望未来,我们无需在...
tomcat9+tomcat-cluster-redis-session-manager_4.0.zip
07-16
tomcat9负载均衡tomcat-cluster-redis-session-manager_4.0
tomcat-redis-session-manager
06-06
tomcat redis session共享,支持tomcat7 jdk7、tomcat8 jdk7、tomcat8 jdk8、tomcat8.5 jdk7、tomcat9 jdk8
spring-session-data-redis-2.0.4.RELEASE-API文档-中英对照版.zip
06-12
赠送jar包:spring-session-data-redis-2.0.4.RELEASE.jar; 赠送原API文档:spring-session-data-redis-2.0.4.RELEASE-javadoc.jar; 赠送源代码:spring-session-data-redis-2.0.4.RELEASE-sources.jar; 赠送...
学习Spring-Session+Redis实现session共享的方法
08-30
本篇文章主要介绍了学习Spring-Session+Redis实现session共享的方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
java用redis替代session,redis是否代替session
weixin_28913019的博客
03-11 826
什么是RedisRedis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API.1.与其他用户状态保存方案比较一般开发中用户状态使用session或者cookie,两种方式各种利弊。Session:在InProc模式下容易丢失,并且引起并发问题。如果使用SQLServer或者SQLServer模式又消耗了性能Cookie则容...
使用redis + 随机token 实现单点登入思路
qq_58616732的博客
07-10 737
一般对于业务方法都需要用户登入才能请求,如果每个方法都去判断用户是否登入太麻烦,可以使用拦截器对所有请求进行统一的登入状态判断。后端拦截业务请求,从请求头里获取token,拼接成key请求redis查询,若为空则拦截,不为空则刷新token的过期时间,放行。对于某些请求不需要拦截,例如登入请求,静态资源请求。前端所有请求必须在请求头里加上token
Redis进阶学习02---Redis替代SessionRedis缓存
m0_53157173的博客
04-27 2333
Redis进阶学习02---Redis替代Session基于Session登录流程 本系列参考b站黑马虎哥redis视频编写而成 本系列项目源码将会保存在gitee上面,仓库链接如下: https://gitee.com/DaHuYuXiXi/redis-combat-project 基于Session登录流程 我们先来看一下基于Session实现登录的模板流程是什么样子的: 发送短信验证码 核心逻辑: public Result sendCode(String phone, HttpS
SpringBoot结合RedisToken存入缓存中进行登录
m0_74436268的博客
06-14 2384
将登录的Token存储在Redis中可以带来以下好处:提高安全性:将Token存储在Redis中,比将Token保存在本地Cookie或浏览器存储中更加安全,因为攻击者无法访问您的服务器上存储的Token。此外,由于Redis支持设置过期时间,可以通过设置Token的过期时间来自动删除旧Token,进一步提高安全性。分布式部署:如果您的应用程序采用分布式部署架构,则在每个节点上保存Token可能不是最佳选择,因为这会增加管理和同步Token的复杂性。
token验证与redis
qq_33783517的博客
02-01 1050
token验证与redis
基于redis处理token
瞭望空城
12-24 3763
java—基于redis处理token   首先明确token:token是用来登录后进行前后端交互用户信息的一种处理方式,主要有两种方式,一种是基于session进行存储,一种是基于redis存储,本文只讨论基于redis做用户信息处理。   用户登录之后的每次信息交互,如果需要传递用户信息,尤其是用户id之类的,每次都去查询数据库显然是不明智的,我们可以在登录后在redis创建一个空间用来保存用户信息,之后每次需要用户信息的时候我们就从redis中取用。 首先创建RedisUtil @Component
redis缓存token
08-19
Redis 中缓存 Token 是一个常见的用法。你可以将生成的 Token 作为 key,用户相关的信息(例如用户ID、权限等)作为 value 存储在 Redis 中。当需要验证 Token 是否有效时,可以直接通过 key 查询对应的 value 来获取用户相关信息,而无需频繁查询数据库。 以下是一个简单的示例,展示了如何在 Redis 中缓存 Token: 1. 生成 Token 并关联用户信息: ``` token = generate_token() user_id = get_user_id() redis.set(token, user_id) redis.expire(token, expiration_time) ``` 2. 验证 Token 的有效性: ``` def validate_token(token): if redis.exists(token): user_id = redis.get(token) # 继续处理相关逻辑 else: # Token 无效或已过期 ``` 请注意,上述示例仅为演示目的,并未包含具体的生成 Token 和获取用户信息的实现细节。实际应用中,你可能需要根据自己的需求进行适当的调整和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值