基于Redis实现共享Session登录的实现
8人参与 • 2025-03-06 • Redis
背景
session 共享问题:如果后端服务是集群模式,由于多台机器之间并不共享 session 存储空间,当请求切换到不同服务时会导致数据丢失的问题
session 的替代方案应该满足:
1.数据共享
2.内存存储
3.key、value 结构
redis 能够满足以上的要求,因此可以采用 redis 来实现共享登录
实现流程
这里以短信登录的业务作为示例,主要包括三个功能:
1.发送短信验证码的接口
2.短信验证码登录、注册接口
3.校验登录状态拦截器
流程图如下所示:
这里采用的策略是,发送验证码时,将对应的手机号作为 key,验证码作为 value
登录、注册时,需要使用手机号将验证码取出,并且以随机 token 作为 key,用户信息作为 value 保存用户数据,这里的用户数据用 hash 类型保存。最后还需要将这个 token 返回给前端
之后在校验登录状态时,前端的每次请求都需要携带这个 token 值,以便服务端能取出相应的用户信息
这里使用随机 token 而不使用手机号作为 key 的目的在于,浏览器是需要存储这个 key 的,以便校验登录状态,如果使用手机号会不安全
代码实现
实体类
@data
@equalsandhashcode(callsuper = false)
@accessors(chain = true)
@tablename("tb_user")
public class user implements serializable {
private static final long serialversionuid = 1l;
/**
* 主键
*/
@tableid(value = "id", type = idtype.auto)
private long id;
/**
* 手机号码
*/
private string phone;
/**
* 密码,加密存储
*/
private string password;
/**
* 昵称,默认是随机字符
*/
private string nickname;
/**
* 用户头像
*/
private string icon = "";
/**
* 创建时间
*/
private localdatetime createtime;
/**
* 更新时间
*/
private localdatetime updatetime;
}
dto 类
@data
public class userdto {
private long id;
private string nickname;
private string icon;
}
这里单独抽取 dto 的原因在于,我们不希望将密码等敏感字段返回给前端
@data
public class loginformdto {
private string phone;
private string code;
private string password;
}
结果返回类
@data
@noargsconstructor
@allargsconstructor
public class result {
private boolean success;
private string errormsg;
private object data;
private long total;
public static result ok(){
return new result(true, null, null, null);
}
public static result ok(object data){
return new result(true, null, data, null);
}
public static result ok(list<?> data, long total){
return new result(true, null, data, total);
}
public static result fail(string errormsg){
return new result(false, errormsg, null, null);
}
}
常量类
public class redisconstants {
public static final string login_code_key = "login:code:";
public static final long login_code_ttl = 2l;
public static final string login_user_key = "login:token:";
public static final long login_user_ttl = 30l;
}
工具类
public class objectmaputils {
// 将对象转为 map
public static map<string, string> obj2map(object obj) throws illegalaccessexception {
map<string, string> result = new hashmap<>();
class<?> clazz = obj.getclass();
field[] fields = clazz.getdeclaredfields();
for (field field : fields) {
// 如果为 static 且 final 则跳过
if (modifier.isstatic(field.getmodifiers()) && modifier.isfinal(field.getmodifiers())) {
continue;
}
field.setaccessible(true); // 设置为可访问私有字段
object fieldvalue = field.get(obj);
if (fieldvalue != null) {
result.put(field.getname(), field.get(obj).tostring());
}
}
return result;
}
// 将 map 转为对象
public static object map2obj(map<object, object> map, class<?> clazz) throws exception {
object obj = clazz.getdeclaredconstructor().newinstance();
for (map.entry<object, object> entry : map.entryset()) {
object fieldname = entry.getkey();
object fieldvalue = entry.getvalue();
field field = clazz.getdeclaredfield(fieldname.tostring());
field.setaccessible(true); // 设置为可访问私有字段
string fieldvaluestr = fieldvalue.tostring();
// 根据字段类型进行转换
if (field.gettype().equals(int.class) || field.gettype().equals(integer.class)) {
field.set(obj, integer.parseint(fieldvaluestr));
} else if (field.gettype().equals(boolean.class) || field.gettype().equals(boolean.class)) {
field.set(obj, boolean.parseboolean(fieldvaluestr));
} else if (field.gettype().equals(double.class) || field.gettype().equals(double.class)) {
field.set(obj, double.parsedouble(fieldvaluestr));
} else if (field.gettype().equals(long.class) || field.gettype().equals(long.class)) {
field.set(obj, long.parselong(fieldvaluestr));
} else if (field.gettype().equals(string.class)) {
field.set(obj, fieldvaluestr);
} else if(field.gettype().equals(localdatetime.class)) {
field.set(obj, localdatetime.parse(fieldvaluestr));
}
}
return obj;
}
}
控制层
@slf4j
@restcontroller
@requestmapping("/user")
public class usercontroller {
@resource
private iuserservice userservice;
/**
* 发送手机验证码
*/
@postmapping("code")
public result sendcode(@requestparam("phone") string phone) {
return userservice.sendcode(phone);
}
/**
* 登录功能
* @param loginform 登录参数,包含手机号、验证码;或者手机号、密码
*/
@postmapping("/login")
public result login(@requestbody loginformdto loginform){
return userservice.login(loginform);
}
}
服务层
@service
public class userserviceimpl extends serviceimpl<usermapper, user> implements iuserservice {
@autowired
private stringredistemplate redistemplate;
@override
public result sendcode(string phone/*, httpsession session*/) {
// 校验手机号
if(regexutils.isphoneinvalid(phone)) {
return result.fail("手机号格式错误");
}
// 生成验证码
string code = randomutil.randomnumbers(6);
/*// 保存验证码到 session
session.setattribute("code", phone + "-" + code);*/
// 保存验证码到 redis
redistemplate.opsforvalue().set(redisconstants.login_code_key + phone, code,
redisconstants.login_code_ttl, timeunit.minutes);
// 发送验证码
log.debug("发送验证码:" + code + ",手机号:" + phone);
return result.ok();
}
@override
public result login(loginformdto loginform/*, httpsession session*/) {
string phone = loginform.getphone();
string code = loginform.getcode();
/*// 从 session 取出手机号和验证码
string[] phoneandcode = session.getattribute("code").tostring().split("-");
// 校验手机号和验证码
if(!phoneandcode[0].equals(phone) || !phoneandcode[1].equals(code)) {
return result.fail("手机号或验证码错误");
}*/
// 从 redis 中取出验证码
string realcode = redistemplate.opsforvalue().get(redisconstants.login_code_key + phone);
if(stringutils.isblank(realcode) || !realcode.equals(code)) {
return result.fail("验证码错误");
}
// 根据手机号查询用户
lambdaquerywrapper<user> querywrapper = new lambdaquerywrapper<>();
querywrapper.eq(user::getphone, phone);
user user = this.getone(querywrapper);
// 用户如果不存在,则创建新用户
if(user == null) {
user = createuserwithphone(phone);
}
/*// session 保存用户信息
session.setattribute("user", beanutil.copyproperties(user, userdto.class));*/
// redis 保存用户信息
string token = uuid.randomuuid().tostring(true);
string tokenkey = redisconstants.login_user_key + token;
try {
// 将 user 转为 userdto 再转为 map
map<string, string> usermap = objectmaputils.obj2map(beanutil.copyproperties(user, userdto.class));
redistemplate.opsforhash().putall(tokenkey, usermap);
redistemplate.expire(tokenkey, redisconstants.login_user_ttl, timeunit.minutes);
} catch (illegalaccessexception e) {
throw new runtimeexception(e);
}
// 将 token 返回
return result.ok(token);
}
// 根据手机号创建新用户
public user createuserwithphone(string phone) {
user user = new user();
user.setphone(phone);
user.setnickname(systemconstants.user_nick_name_prefix + randomutil.randomstring(10));
// 保存至数据库
this.save(user);
return user;
}
}
拦截器及其配置类
这里会使用两个拦截器,一个是拦截一切路径的刷新拦截器,主要用途就是如果用户在 token 有效期内访问了系统,那么就会刷新超时时间;另一个是拦截部分路径的登录校验拦截器,主要就是检验用户是否登录
添加刷新拦截器的原因在于,如果用登录校验拦截器进行刷新工作,由于排除了部分路径,因此如果用户一直访问这些被排除的部分路径,会导致用户 token 的有效期不会被刷新。所以需要单独添加一个拦截所有路径的拦截器
@configuration
public class mvcconfig implements webmvcconfigurer {
@autowired
private stringredistemplate redistemplate;
@override
public void addinterceptors(interceptorregistry registry) {
// 刷新拦截器
registry.addinterceptor(new refreshtokeninterceptor(redistemplate)).order(10);
// 登录拦截器
registry.addinterceptor(new logininterceptor())
.excludepathpatterns( // 排除的拦截路径
// 以下根据业务需求来写
"/shop/**",
"/voucher/**",
"/shop-type/**",
"/upload/**",
"/blog/hot",
"/user/code",
"/user/login"
).order(20);
}
}
public class refreshtokeninterceptor implements handlerinterceptor {
private stringredistemplate redistemplate;
public refreshtokeninterceptor(stringredistemplate redistemplate) {
this.redistemplate = redistemplate;
}
@override
public boolean prehandle(httpservletrequest request, httpservletresponse response, object handler) throws exception {
// 获取用户
string token = request.getheader("authorization");
string key = redisconstants.login_user_key + token;
map<object, object> entries = redistemplate.opsforhash().entries(key);
// 用户不存在,直接放行
if(entries.isempty()) {
return true;
}
// map 转为 userdto
userdto user = (userdto) objectmaputils.map2obj(entries, userdto.class);
// 用户存在,放入 threadlocal
userholder.saveuser(user);
// 刷新 token 有效期
redistemplate.expire(key, redisconstants.login_user_ttl, timeunit.minutes);
// 放行
return true;
}
@override
public void aftercompletion(httpservletrequest request, httpservletresponse response, object handler, exception ex) throws exception {
// 销毁 threadlocal
userholder.removeuser();
}
}
public class logininterceptor implements handlerinterceptor {
@override
public boolean prehandle(httpservletrequest request, httpservletresponse response, object handler) {
// 用户未登录,拦截
if(userholder.getuser() == null) {
response.setstatus(httpstatus.http_unauthorized);
return false;
}
return true;
}
}到此这篇关于基于redis实现共享session登录的实现的文章就介绍到这了,更多相关redis session共享登录内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
赞 (0)
打赏
微信扫一扫
微信扫一扫
您想发表意见!!点此发布评论
发表评论