🚗Redis应用学习·第一站~
🚩本文已收录至专栏：数据库学习之旅
👍希望您能有所收获
👉相关推荐：使用短信服务发送手机验证码进行安全校验

一.引入

​ 在开发项目过程中，我们常常能碰到需要登录注册的场景，而使用短信验证码或邮箱验证码进行验证又是我们常见的选择之一。Session在其中起到了很重要的用处，在单体项目时可能刚好够用，但在集群环境下却容易碰到一些小问题。本篇便是介绍基于Session实现登录的流程，然后引出集群的Session的共享问题，最后一起看看如何使用Redis解决Session的问题。

二.基于Session实现登录流程

(1) 整体流程

接下来让我们一起按照流程图逐一实现…

(2) 发送短信验证码

用户在提交手机号后，会校验手机号是否合法，如果不合法，则要求用户重新输入手机号如果手机号合法，后台此时生成对应的验证码，同时将验证码进行保存，然后再通过短信的方式将验证码发送给用户

// 在controller中调用此方法进行发生验证码@Overridepublic Result sendCode(String phone, HttpSession session) {// 1.使用自定义正则表达式工具包校验手机号if (RegexUtils.isPhoneInvalid(phone)) {// 2.如果不符合，返回错误信息return Result.fail("手机号格式错误！");}// 3.符合，使用hutool工具类随机生成验证码String code = RandomUtil.randomNumbers(6);// 4.保存验证码到 sessionsession.setAttribute("code",code);// 5.模拟发送验证码，可根据需要自行实现真实功能log.debug("发送短信验证码成功，验证码：{}", code);// 返回okreturn Result.ok();}

(3) 短信验证码登录、注册

用户将验证码和手机号进行输入，后台从session中拿到当前验证码，然后和用户输入的验证码进行校验，如果不一致，则无法通过校验，如果一致，则后台- 根据手机号查询用户，如果用户不存在，则为用户创建账号信息，保存到数据库，无论是否存在，都会将用户信息保存到session中，方便后续获得当前登录信息.

// 在controller中调用此方法进行发生登录验证   // 不能相信前端传过来的请求参数！！！// 后端需要再次进行检验@Overridepublic Result login(LoginFormDTO loginForm, HttpSession session) {// 1.根据正则工具类校验手机号String phone = loginForm.getPhone();if (RegexUtils.isPhoneInvalid(phone)) {// 2.如果不符合，返回错误信息return Result.fail("手机号格式错误！");}// 3.校验验证码Object cacheCode = session.getAttribute("code");String code = loginForm.getCode();if(cacheCode == null || !cacheCode.toString().equals(code)){//3.不一致，报错return Result.fail("验证码错误");}//一致，根据手机号(数据库手机号设置了唯一)查询用户 // select * from tb_user where phone = ?User user = query().eq("phone", phone).one();//5.判断用户是否存在if(user == null){//不存在，则使用封装的方法创建user = new User();user.setPhone(phone);user.setNickName("user_" + RandomUtil.randomString(10));this.save(user);}//7.将用户信息进行脱敏之后保存用户信息到session中// 防止将密码等敏感信息暴露在浏览器中session.setAttribute("user", BeanUtils.copyProperties(user,UserDTO.class));return Result.ok();}

如果不进行脱敏，我们通过debug功能可以观察到用户的全部信息都在，这样极其不安全，所以我们应当在返回用户信息之前，将用户的敏感信息进行隐藏，核心思路就是书写一个UserDto对象，这个UserDto对象不保存敏感信息了，我们在返回前，将有用户敏感信息的User对象转化成没有敏感信息的UserDto对象，那么就能够避免这个尴尬的问题了。

(4) 校验登录状态

用户在请求服务时候，会从cookie中携带者JsessionId到后台，后台通过JsessionId从session中拿到用户信息，如果没有session信息，则进行拦截，如果有session信息，则将用户信息保存到threadLocal中，并且放行。

每个用户其实对应都是去找tomcat线程池中的一个线程来完成工作的， 使用完成后再进行回收，既然每个请求都是独立的，所以在每个用户去访问我们的工程时，我们可以使用threadlocal来做到线程隔离，每个线程操作自己的一份数据。在threadLocal中，无论是他的put方法和他的get方法， 都是先从获得当前用户的线程，然后从线程中取出线程的成员变量map，只要线程不一样，map就不一样，所以可以通过这种方式来做到线程隔离。

public class UserHolder {private static final ThreadLocal<UserDTO> tl = new ThreadLocal<>();public static void saveUser(UserDTO user){tl.set(user);}public static UserDTO getUser(){return tl.get();}public static void removeUser(){tl.remove();}
}

当我们的服务越来越多时，我们不可能在每个服务中都写上一大堆相同的代码进行判断，因此我们可以通过配置拦截器统一进行校验。

1. 配置拦截器：

public class LoginInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//1.获取sessionHttpSession session = request.getSession();//2.获取session中的用户Object user = session.getAttribute("user");//3.判断用户是否存在if(user == null){//4.不存在，拦截，返回401状态码response.setStatus(401);return false;}//5.存在，保存用户信息到手动封装的Threadlocal中UserHolder.saveUser((UserDTO)user);//6.放行return true;}
}

2. 编写配置类使拦截器生效：

@Configuration
public class MvcConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 登录拦截器registry.addInterceptor(new LoginInterceptor())// 设置不需要拦截的路径.excludePathPatterns("/shop/**","/voucher/**","/shop-type/**","/upload/**","/blog/hot","/user/code","/user/login").order(1);}
}

3. 返回当前用户登录信息

@GetMapping("/me")
public Result me() {//  获取当前登录的用户并返回UserDTO user = UserHolder.getUser();return Result.ok(user);
}

至此我们便实现了基础Session实现登录的功能~

三.session共享问题分析

session共享问题：多台Tomcat并不共享session存储空间，在集群部署时，当请求切换到不同tomcat服务时导致数据丢失的问题。

核心思路分析：

每个tomcat中都有一份属于自己的session,假设用户第一次访问第一台tomcat，并且把自己的信息存放到第一台服务器的session中，但是第二次这个用户访问到了第二台tomcat，那么在第二台服务器上，肯定没有第一台服务器存放的session，所以此时整个登录拦截功能就会出现问题，无法获取到用户的登录信息，我们能如何解决这个问题呢？

早期的方案是session拷贝，就是说虽然每个tomcat上都有不同的session，但是每当任意一台服务器的session修改时，都会同步给其他的Tomcat服务器的session，这样的话，就可以实现session的共享了

但是这种方案具有两个大问题:

1. 每台服务器中都有完整的一份session数据，服务器压力过大。

2. session拷贝数据时，可能会出现延迟

所以后来采用的方案都是基于redis来完成，我们把session换成redis，redis数据本身就是共享的，就可以避免session共享的问题了

四.基于Redis实现共享session登录

(1) 键值结构设计

​ 首先我们要思考一下利用redis来存储数据，那么到底使用哪种结构呢？由于存入的数据比较简单，我们可以考虑使用String，或者是使用哈希，如果使用String，他的value格式会多占用一点空间，如果使用哈希，则他的value中只会存储他数据本身，如果不是特别在意内存，其实使用String就可以啦。

关于key的处理，由于session是每个用户都有自己的session，但是redis的key是共享的，因此，在设计这个key的时候，我们需要满足两点：

1. key要具有唯一性

2. key要方便携带

由此在上述示例中：

1. 发送短信验证码时，我们不能使用"code"作为key存储，因为当多个用户获取时，由于code唯一，value会被相互覆盖。此处，我们可以选择手机号作为key。

2. 进行登录校验存储用户信息时，如果我们也采用手机号作为key来存储当然是可以的，但是如果把这样的敏感数据存储到redis中并且从页面中带过来毕竟不太安全，所以我们在后台生成一个随机串token，然后让前端带来这个token就能完成我们的整体逻辑。

(2) 整体流程

下图流程和上述流程基本一致，只是验证码的存储与获取方式换成了Redis。

此处流程也基本一致，只是存储方式有些许改变。当注册完成后，用户去登录会去校验用户提交的手机号和验证码，是否一致。如果一致，则根据手机号查询用户信息，不存在则新建，最后将用户数据保存到redis，并且生成token作为redis的key，当我们校验用户是否登录时，会去携带着token进行访问，从redis中取出token对应的value，判断是否存在这个数据，如果没有则拦截，如果存在则将其保存到ThreadLocal中，并且放行。

例如前端响应时存储服务端发送的token，请求时携带token访问：

(3) 发送短信验证码

首先我们引入stringRedisTemplate，修改验证码存储方式，使用redis代替session存储验证码。

// 注入stringRedisTemplate
@Resource
private StringRedisTemplate stringRedisTemplate;@Override
public Result sendCode(String phone) {//1.使用封装工具类检查手机号格式是否正确if (RegexUtils.isPhoneInvalid(phone)) {//如果手机号格式不正确返回错误信息return Result.fail("手机号格式不正确");}//2.使用hutool随机生成验证码String code = RandomUtil.randomNumbers(6);//3.保存验证码到redis中,设置过期时间stringRedisTemplate.opsForValue().set(LOGIN_CODE_KEY + phone, code, LOGIN_CODE_TTL, TimeUnit.MINUTES);//4.发送验证码log.debug("成功发送验证码：{}", code);return Result.ok();
}

需要注意的是，我们需要为key设置一个有效期，我们常常能看到接收的短信后面有这样一句话（5分钟内有效），这便可依靠过期时间来实现。此外，由于redis默认永久存储，当我们存储的无效数据越来越多时，便极大的浪费了我们的内存空间。

(4) 短信验证码登录、注册

此处需要修改的地方相对来说多一点，我们需要从redis中获取验证码，保存用户信息到redis,并且需要生成token并返回给前端

// 注入stringRedisTemplate
@Resource
private StringRedisTemplate stringRedisTemplate;@Override
public Result login(LoginFormDTO loginForm, HttpSession session) {// 1.校验手机号String phone = loginForm.getPhone();if (RegexUtils.isPhoneInvalid(phone)) {// 2.如果不符合，返回错误信息return Result.fail("手机号格式错误！");}// 3.从redis获取验证码并校验String cacheCode = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY + phone);String code = loginForm.getCode();if (cacheCode == null || !cacheCode.equals(code)) {// 不一致，报错return Result.fail("验证码错误");}// 4.一致，根据手机号查询用户 select * from tb_user where phone = ?User user = query().eq("phone", phone).one();// 5.判断用户是否存在if (user == null) {// 6.不存在，创建新用户并保存user = new User();user.setPhone(phone);user.setNickName("user_" + RandomUtil.randomString(10));this.save(user);}// 7.保存用户信息到 redis中// 7.1.使用UUID随机生成token，作为登录令牌String token = UUID.randomUUID().toString(true);// 7.2.1 去除User对象敏感信息UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);// 7.2.2 使用hutool工具包，将User对象转为HashMap存储Map<String, Object> userMap = BeanUtil.beanToMap(userDTO, new HashMap<>(),CopyOptions.create().setIgnoreNullValue(true).setFieldValueEditor((fieldName, fieldValue) -> fieldValue.toString()));// 7.3.存储tokenString tokenKey = LOGIN_USER_KEY + token;stringRedisTemplate.opsForHash().putAll(tokenKey, userMap);// 7.4.设置token有效期stringRedisTemplate.expire(tokenKey, LOGIN_USER_TTL, TimeUnit.MINUTES);// 8.返回tokenreturn Result.ok(token);
}

如此我们便实现了短信验证码登录功能

(5) 检查刷新登录状态

问题来了，我们不可能等设置过期时间30分钟到了直接将玩得正嗨的用户强行踢下线吧？正常的是，当用户超过30分钟不操作，我们才应该移除token，为此，在用户进行操作时，我们应当时刻刷新Token的有效期，以此保存用户的登录状态。同样，我们不可能在每个请求接口中都手动刷新一次token吧？由此，我们还是可以选择在拦截器中进行相关操作~

登录拦截器代码：

public class LoginInterceptor implements HandlerInterceptor {//手动创建，不是spring容器管理的类private StringRedisTemplate stringRedisTemplate;public LoginInterceptor(StringRedisTemplate stringRedisTemplate) {this.stringRedisTemplate = stringRedisTemplate;}@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//获取请求头中的tokenString token = request.getHeader("authorization");if (StrUtil.isBlank(token)) {//2.如果不存返回状态码401(未授权)response.setStatus(401);return false;}//1.从redis中获取用户String tokenKey = LOGIN_USER_KEY + token;Map<Object, Object> entries = stringRedisTemplate.opsForHash().entries(tokenKey);// 2. 判断是否为空if (entries.isEmpty()) {//2.判断用户是否存在,如果不存返回状态码401(未授权)response.setStatus(401);return false;}//3.使用hutool操作，如果存在转换为UserDTO，并放行并保存到ThreadLocalUserDTO user = BeanUtil.fillBeanWithMap(entries, new UserDTO(), false);UserHolder.saveUser(user);//4.刷新token有效期stringRedisTemplate.expire(tokenKey, LOGIN_USER_TTL, TimeUnit.MINUTES);return true;}
}

需要自己通过配置类手动注入stringRedisTemplate:

@Configuration
public class MvcConfig implements WebMvcConfigurer {@Resourceprivate StringRedisTemplate stringRedisTemplate;@Overridepublic void addInterceptors(InterceptorRegistry registry) {//登录拦截器registry.addInterceptor(new LoginInterceptor(stringRedisTemplate)).excludePathPatterns("/shop/**","/voucher/**","/shop-type/**","/upload/**","/blog/hot","/user/code","/user/login").order(1);}
}

(6) 刷新登录状态优化

分析：

在上述方案中，他确实可以使用对应路径的拦截，同时刷新登录token令牌的存活时间，但是现在这个拦截器他只是拦截需要被拦截的路径，假设当前用户访问了一些不需要拦截的路径，那么这个拦截器就不会生效，所以此时令牌刷新的动作实际上就不会执行，所以上述方案存在一些问题。

优化：

既然之前的拦截器无法对不需要拦截的路径生效，那么我们可以再添加一个拦截器，在第一个拦截器中拦截所有的路径，进行相关校验，同时刷新令牌，因为第一个拦截器有了threadLocal的数据，所以此时第二个拦截器只需要判断拦截器中的user对象是否存在即可，完成整体刷新功能。

在第一个拦截器RefreshTokenInterceptor中：

public class RefreshTokenInterceptor implements HandlerInterceptor {private StringRedisTemplate stringRedisTemplate;public RefreshTokenInterceptor(StringRedisTemplate stringRedisTemplate) {this.stringRedisTemplate = stringRedisTemplate;}@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 1.获取请求头中的tokenString token = request.getHeader("authorization");if (StrUtil.isBlank(token)) {return true;}// 2.基于TOKEN获取redis中的用户String key  = LOGIN_USER_KEY + token;Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(key);// 3.判断用户是否存在if (userMap.isEmpty()) {return true;}// 5.将查询到的hash数据转为UserDTOUserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);// 6.存在，保存用户信息到 ThreadLocalUserHolder.saveUser(userDTO);// 7.刷新token有效期stringRedisTemplate.expire(key, LOGIN_USER_TTL, TimeUnit.MINUTES);// 8.放行return true;}@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {// 移除用户UserHolder.removeUser();}
}

在第二个拦截器LoginInterceptor中：

public class LoginInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 1.判断是否需要拦截（ThreadLocal中是否有用户）if (UserHolder.getUser() == null) {// 没有，需要拦截，设置状态码response.setStatus(401);// 拦截return false;}// 有用户，则放行return true;}
}

注意：此处同样需要我们手动注入stringRedisTemplate

@Configuration
public class MvcConfig implements WebMvcConfigurer {@Resourceprivate StringRedisTemplate stringRedisTemplate;@Overridepublic void addInterceptors(InterceptorRegistry registry) {//登录拦截器registry.addInterceptor(new LoginInterceptor()).excludePathPatterns("/shop/**","/voucher/**","/shop-type/**","/upload/**","/blog/hot","/user/code","/user/login").order(1);//Token刷新拦截器registry.addInterceptor(new RefreshTokenInterceptor(stringRedisTemplate)).addPathPatterns("/**").order(0);}
}

如此便算基本完成了功能