在集群中,我们一般不会使用session,我们一般构造一个Cookie放入cookie和redis中。这里的token不是restful中的token,而是通过浏览器访问的token。restful的token不需要cookie,就是用responseEntity返回的。
Cookie的生命周期如果创建时不指定(也就是默认值<0),那么是指到浏览器关闭时,cookie就消失了。所以这里就要注意了,如果浏览器未关闭时,只要与应用程序有一次交互,就要延长redis中的token时间。否则就出现不管操作与不操作,在30分钟后都会找不到redis中的token,这就不合理了。
controller中doLogin()方法:
@RequestMapping(value = "doLogin", method = RequestMethod.POST)
@ResponseBody
public Map<String, Object> doLogin(User user, HttpServletRequest request, HttpServletResponse response) {
Map<String, Object> map = new HashMap<>();
try {
String token = userService.doLogin(user.getUsername(), user.getPassword());
if (StringUtils.isEmpty(token)) {
map.put("status", 500);
return map;
}
CookieUtils.setCookie(request, response, TOKEN_NAME, token);
map.put("status", 200);
} catch (Exception e) {
map.put("status", 500);
e.printStackTrace();
return map;
}
return map;
}
@RequestMapping(value = "doLogin", method = RequestMethod.POST)
@ResponseBody
public Map<String, Object> doLogin(User user, HttpServletRequest request, HttpServletResponse response) {
Map<String, Object> map = new HashMap<>();
try {
String token = userService.doLogin(user.getUsername(), user.getPassword());
if (StringUtils.isEmpty(token)) {
map.put("status", 500);
return map;
}
CookieUtils.setCookie(request, response, TOKEN_NAME, token);
map.put("status", 200);
} catch (Exception e) {
map.put("status", 500);
e.printStackTrace();
return map;
}
return map;
}
这里没有使用Restful格式,所以状态200或500都是业务状态,不是http状态。
个人理解controller一般要去做try-catch,而service层要做抛异常操作。
返回类型为Map的话,对于前台json接收也是很方便的,data.xxx就是Map中get(xxx)的返回值。
controller中操作cookie(写cookie,名为自定义,值为token)
service中操作校验以及redis存储。这里redis不在作为缓存,而是作为数据库,所以它和业务是绑定的,即:如果redis报错,业务也应报错。而不像缓存。
service方法:
public String doLogin(String username, String password) throws Exception {
User record = new User();
record.setUsername(username);
User user = userMapper.selectOne(record);
if (user == null) {
return null;
}
if (!StringUtils.equals(DigestUtils.md5Hex(password), user.getPassword())) {
return null;
}
String token = DigestUtils.md5Hex(username + System.currentTimeMillis());
redisService.set("TOKEN_" + token, user, 30L);
return token;
}
如果我们在做redis存user对象时,不想序列化password,那么只要在User类上的password上加@JsonIgnore。注意:@JsonIgnoreProperties(ignoreUnknown = true)用在类上,一般在string转object时用。如果字段上用@JsonIgnore,那么我的理解是在用object转string时会忽略,反过来转化时如果字符串没有该字段也不会报错(这和JsonIgnoreProperties一致)。用这种方式要求restTemplate的泛型为<String,String>并结合ObjectMapper的writeValueAsString和readValue比较好。而不是使用RedisTemplate<Serializable, Serializable>,同时RedisSerializer要用StringRedisSerializer。RedisTemplate和RedisSerializer要一致,RedisTemplate主要用opsForValue方法
当有与应用程序交互时,可以在过滤器或拦截器中使用redisService.expire("TOKEN_" + token, 30L);(redisTemplate.expire(key, minutes, TimeUnit.MINUTES);)
当用户退出(logout方法),controller层删除cookie(时间设为0),service层删除redis中的token对应的user。redisTemplate.delete(key);key的为自定义的如“TOKEN_”+token值。我们不用写代码去判断token时间是否超时,因为redis能够自动对超时的token进行删除,使用redis就必须在拦截器中对每一次业务请求进行redisService.expire("TOKEN_" + token, 30L);重新设置过期时间,不是在原来基础上延长。之前的session每次都会自动更新过期时间。
其中setCookie的方法是
if (cookieValue == null) {
cookieValue = "";
} else if (isEncode) {
cookieValue = URLEncoder.encode(cookieValue, "utf-8");
}
Cookie cookie = new Cookie(cookieName, cookieValue);
if (cookieMaxage > 0) {
cookie.setMaxAge(cookieMaxage);
}
if (null != request) {
cookie.setDomain(getDomainName(request));
}
cookie.setPath("/");
response.addCookie(cookie);
redis使用
JdkSerializationRedisSerializer jdkSerializer = new JdkSerializationRedisSerializer();
@Autowired
private RedisTemplate<Serializable, Serializable> redisTemplate;
redisTemplate.opsForValue().set(key, jdkSerializer.serialize(value), minutes, TimeUnit.MINUTES);
其中value就是user对象
登录时,会在拦截器中通过CookieUtils.getCookieValue(request, TOKEN_NAME);得到token值
getCookieValue的方法是
Cookie[] cookieList = request.getCookies();
if ((cookieList == null) || (cookieName == null)){
return null;
}
String retValue = null;
try {
for (int i = 0; i < cookieList.length; i++) {
if (cookieList[i].getName().equals(cookieName)) {
if (isDecoder) {
retValue = URLDecoder.decode(cookieList[i].getValue(), "UTF-8");
} else {
retValue = cookieList[i].getValue();
}
break;
}
}
} catch (UnsupportedEncodingException e) {
logger.error("Cookie Decode Error.", e);
}
return retValue;
最终调用redis的
Object obj = redisTemplate.opsForValue().get(key);
return jdkSerializer.deserialize((byte[]) obj);强转成user
然后去比较即可,注意在拦截器中一旦通过,那么要延长redis中token的时间,而浏览器中的cookie由于设了-1,所以只要浏览器不关闭,就一直在