集群下session共享问题的解决方案.

集群下session共享问题的解决方案.

 

这一篇博客来讲解下babasport这个项目中使用的Login功能, 当然这里说的只是其中的一些简单的部分, 记录在此 方便以后查阅.


一: 去登录页面
首先我们登录需要注意的事项是, 当用户点击登录按钮时,转入登录页面时也要记住之前用户是从哪个页面发送请求过来的, 这样登录成功后还能继续跳回到用户之前浏览的那个页面.
我们页面展示显示的登录按钮都是集成在一个common的jsp中, 前台每个页面都是引用的这个jsp, 所以需要在这个common的jsp中直接添加点击登录按钮跳转的页面.


这里点击登录按钮后 就会使用window.location.href="http://localhost:8081/login.aspx?returnUrl="+encodeURIComponent(window.location.href);跳转到新的页面, 且这里传入的参数 是浏览器的url, 这个就是为了登录成功后 还能继续跳转到这个页面来. 而encodeURIComponent是 js自带的转义类, 转义的好处是能够在url中带中文重定向后无法接收 且url带多参数解决&被转义而无效的情况.
下图就是跳转到login页面前的window.location.href属性:


二, 处理登录操作
到了登录界面后, 查看登陆界面图, 这里的url参数是经过转义的:


点击登录按钮 会进入到LoginController.java中:

 1 //去登录页面
 2     @RequestMapping(value="/login.aspx",method=RequestMethod.GET)
 3     public String login(){
 4         return "login";
 5     }
 6     
 7     @Autowired
 8     private BuyerService buyerService;
 9     
10     @Autowired
11     private SessionProviderService sessionProviderService;
12     //执行登录操作
13     @RequestMapping(value="/login.aspx",method=RequestMethod.POST)
14     public String login(String username, String password, String returnUrl,Model model,
15             HttpServletRequest request, HttpServletResponse response){
16         //1: 判断用户名不能为空
17         if(null != username){
18             //2:判断密码不能为空
19             if (null != password){
20                 //3:用户名必须正确
21                 Buyer buyer = buyerService.selectBuyerByusername(username);
22                 if(buyer != null){
23                     //4:密码必须正确
24                     if(encodePassword(password).equals(buyer.getPassword())){
25                         //5:设置用户到Session
26                         sessionProviderService.setAttributerForUsername(RequestUtils.getCSessionId(request, response), buyer.getUsername());
27                         //6:回跳之前访问页面
28                         if(null != returnUrl){
29                             return "redirect:"+returnUrl;
30                         }else{
31                             return "redirect:http://localhost:8082/";
32                         }
33                     }else {
34                         model.addAttribute("error", "密码输入错误!");
35                     }
36                 }else {
37                     model.addAttribute("error", "用户名输入错误!");
38                 }
39                 
40             }else {
41                 model.addAttribute("error", "密码不能为空!");
42             }
43         }else {
44             model.addAttribute("error", "用户名不能为空!");
45         }
46         
47         
48         return "login";
49     }
50     
51     //加密
52     public String encodePassword(String password){
53         
54         String algorithm = "MD5";
55         char[] encodeHex = null;
56         //MD5
57         try {
58             MessageDigest instance = MessageDigest.getInstance(algorithm);
59             byte[] digest = instance.digest(password.getBytes());
60             
61             //十六进制, 在MD5加密的基础上再次加密
62             encodeHex = Hex.encodeHex(digest);
63         } catch (NoSuchAlgorithmException e) {
64             // TODO Auto-generated catch block
65             e.printStackTrace();
66         }
67         
68         return new String(encodeHex);
69     }

这里使用了MD5加密, 经过MD5加密后在使用十六进制进行加密.
如果登陆成功, 调用sessionProviderService.setAttributerForUsername(RequestUtils.getCSessionId(request, response), buyer.getUsername());
SessionProviderImpl.java:

 1 //session存活时间, 单位是分钟.
 2     private Integer exp = 30;
 3     public void setExp(Integer exp) {
 4         this.exp = exp;
 5     }
 6 
 7 
 8     @Autowired
 9     private Jedis jedis;
10     //保存用户到redis中  注册: 保存用户到mysql的同时保存用户名作为Key 用户Id当做value 到redis中
11     //jessionId  value==用户名
12     public void setAttributerForUsername(String jessionId, String value){
13         jedis.set(jessionId + ":USER_NAME", value);
14         jedis.expire(jessionId + ":USER_NAME", 60*exp);
15     }

将username信息保存到Redis中, key是CSessionId:USER_NAME, value是username.

三: 验证用户是否登录
首先看下没有Login的时候最原始的页面:


那么显然这里就不对了, 如果没有登录, 那么就只应该显示[登录]和[免费注册], 后面的[退出]和[我的订单]就不应该显示的, 那么怎么来验证是否登录呢? 
这里头部显示的内容全都是引用的同一个common的jsp文件, 首先在页面加载的时候我们应该判断用户是否登录:
如果这里我们直接使用ａｊａｘ异步去调用获取用户是否已经登录, 这里dataType暂时使用json(jsonp是为了解决跨域问题)


如果我们代码中也是这样改动的, 那么会发生什么事情呢? 

这里提示不能够跨域访问?　那么该怎么去做呢？
上面的截图已经给出了, 我们传递的dataType类型是jsonp, 就意味着我们这个ajax请求时跨域请求.

这里又引出一个新问题, 关于多服务器的问题, 如果用户登录时所处的服务器是Tomcat1, 那么登录后当用户再次访问页面时同样会做登录验证, 这个时候如果是Tomcat2呢? 
所以这里就引出了抛弃使用jesseionId的想法,具体的解决方法如图:

我们自己创建一个CsessionId, 当用户第一次访问时, CsessionId为空, 那么 在Tomcat1总创建一个CsessionId, 并且将此CsessionId保存到Redis服务器中, 且返回给浏览器.
当用户第二次访问, 且由Tomcat2 负责处理时, Tomcat2 通过CsessionId去Redis服务器中查找已存在, 然后就知道了此用户已经登录.
下面就看看对于这个CsessionId是如何操作的:
跨域请求后, isLogin接收的参数有一个callBack属性, 如果是跨域请求, 那么这个参数就会有值.

 1 //是否登录
 2     @RequestMapping(value="/isLogin.aspx")
 3     public @ResponseBody MappingJacksonValue isLogin(String callback, HttpServletRequest request, HttpServletResponse response) throws IOException{
 4         Integer result = 0;
 5         //判断用户是否登录
 6         String username = sessionProviderService.getAttributterForUsername(RequestUtils.getCSessionId(request, response));
 7         if (null != username) {
 8             result = 1;
 9         }
10         
11         //返回<script> 类, 这个类支持跨域请求
12         MappingJacksonValue mjv = new MappingJacksonValue(result);
13         //设置jsonpFunction
14         mjv.setJsonpFunction(callback);
15         return mjv;
16     }

这个地方 是先通过RequestUtils获取CSessionId, 然后再通过CSessionId去获取到对应的username.

RequestUtils.java:

 1 public class RequestUtils {
 2 
 3     //获取CSessionID
 4     public static String getCSessionId(HttpServletRequest request, HttpServletResponse response){ 6         //1, 从Request中取Cookie
 7         Cookie[] cookies = request.getCookies();
 8         //2, 从Cookie数据中遍历查找, 并取CSessionID
 9         if (null != cookies && cookies.length > 0) {
10             for (Cookie cookie : cookies) {
11                 if ("CSESSIONID".equals(cookie.getName())) {
12                     //有, 直接返回
13                     return cookie.getValue();
14                 }
15             }
16         }
17         //没有, 创建一个CSessionId, 并且放到Cookie再返回浏览器.返回新的CSessionID
18         String csessionid = UUID.randomUUID().toString().replaceAll("-", "");
19         //并且放到Cookie中
20         Cookie cookie = new Cookie("CSESSIONID", csessionid);
21         //cookie  每次都带来, 设置路径
22         cookie.setPath("/");
23         //0:关闭浏览器  销毁cookie. 0:立即消失.  >0 存活时间,秒
24         cookie.setMaxAge(-1);
25         
26         return csessionid;
27     }
28 }

先查看cookies中是否保存的有CSessionId, 如果没有就新创建一个, 且保存到Cookies中.

SessionProviderImpl.java:

 1 public class SessionProviderImpl implements SessionProviderService {
 2 
 3     //session存活时间, 单位是分钟.
 4     private Integer exp = 30;
 5     public void setExp(Integer exp) {
 6         this.exp = exp;
 7     }
 8 
 9 
10     @Autowired
11     private Jedis jedis;
12     //保存用户到redis中  注册: 保存用户到mysql的同时保存用户名作为Key 用户Id当做value 到redis中
13     //jessionId  value==用户名
14     public void setAttributerForUsername(String jessionId, String value){
15         jedis.set(jessionId + ":USER_NAME", value);
16         jedis.expire(jessionId + ":USER_NAME", 60*exp);
17     }
18     
19     
20     //获取
21     public String getAttributterForUsername(String jessionId){
22         String value = jedis.get(jessionId + ":USER_NAME");
23         if(null != value){
24             //计算session过期时间是 用户最后一次请求开始计时.
25             jedis.expire(jessionId + ":USER_NAME", 60*exp);
26             return value;
27         }
28         return null;
29     }
30 }

这里的getAttributterForUsername 是通过传递进来的CSessionId 去Redis服务器中查找 相应的结果, 如果已经保存了这个 CSessionId, 那么就返回username.
如果已经登陆, 那么就返回1, 在ajax请求的success中再进行相应的处理.
关于登陆的再来梳理一下:
已经登陆, 校验是否登陆
登陆成功: 会将一个CSessionId保存到Redis中, Redis中设置的这个CSessionId的过期时间为60分钟.
CSessionId是保存在Cookies中的, 如果Cookies中没有这个CSessionId则创建一个返回.Cookies中的CSessionId的过期时间也是60分钟.

校验是否登录:通过ajax发送跨域请求, 此时因为已经登陆成功, 所以Cookies中存在这个CSessionId. 然后通过这个CSessionId我们可以在Redis服务器中查出对应的username. 然后Controller将设置一个flag为1, 在ajax中接收到这个flag , 就可以根据判断来做出相应的处理.

关于Login就这么多, 当然这里的权限验证远远不够, 而且这里也省略的注册的内容, 大致需要注意的就是这么多, 其中最 关键的就是CSession的使用, 这个可以解决多服务器直接session的共享.