Redis 实现分布式Session 登录
借助 Redis 对 Session 信息进行统一的存储和管理,这样无论请求发送到哪台服务器,服务器都会去同一个 Redis 获取相关的 Session 信息,这样就解决了分布式系统下 Session 存储的问题。
- 【发送短信】校验手机号,如果校验手机号格式正确,那么就生成一个六位随机数字验证码,然后把这个六位数保存到 Redis 中,key 设置为业务前缀+手机号,value 就是 String 类型的随机数验证码,设定验证码的有效时间(2-3 分钟)防止这个 redis 中的数据越存越多。最后将验证码返回给前端。
- 【登录和注册】接下来用户输入手机号和验证码登录。登录时先校验手机号格式,校验格式通过后,之后根据前端发来的手机号(手机号就是 redis 中的 key 的一部分)从 redis 中获取验证码。
a. 如果验证码一致(redis 保存的和用户输入的一致),那么就根据手机号去数据库查找用户是否存在。
ⅰ. 如果数据库中有该用户,保存用户信息到 redis(便于后面逻辑的判断 比如登录判断、随时取用户信息,减少对数据库的查询)- 随机生成一个 token(使用 UUID+一些业务前缀) 作为登录令牌,作为 redis 中的 key。
- 存储用户信息。【putall 方法】参数: key=token, Map(哈希表)。即以 Hash 存储到 redis
- 存储的时候也不能一直存一直存,需要设计用户信息的有效期,一段时间后就清除内存。
- 将这个 token 返回给客户端存储,以后每次发送请求的时候客户端就会携带。
ⅱ. 如果数据库中没有该用户,那就创建新用户(补充一些用户名昵称之类的),保存到用户数据库,之后保存用户信息到 redis。
b. 如果验证码不一致,返回失败,需要重新提交验证码手机号。
- 相当于之后用户的登录凭证就是 redis 中的 key(token) ,登录之后浏览器每次发送请求时,请求头就会携带含有 token 的 Cookie。那么服务端收到之后就可以通过 token 得到 redis 中存储的 value,如果得到了 value 就可以判断为登陆成功。
- 【后续请求时校验登录状态】后续的请求都会携带 cookie:token,通过 interceptor1 拦截器 1 拦截所有请求,之后获取 token,从而获取 redis 中的用户信息。如果成功获取到了,那么就将用户信息保存到 TreadLocal 中,然后刷新 token 有效期,之后放行。如果没有获取到用户信息,那么就直接放行(交给第二个拦截器处理)。
之后通过 interceptor2 拦截器 2 拦截需要登录的路径,如果从 TreadLocal 中查询到用户,那么就放行,如果没查到,那么就拦截。那些不需要登录就能访问的东西,就不会被拦截了。
采用 Redis 里面的 Hash 数据结构存储:
● 对象的 String 数据结构是以 JSON 字符串的形式保存,更加直观,操作也更加简单,但是 JSON 结构会有很多非必须的内存开销,比如双引号、大括号,内存占用比 Hash 更高
● Hash 数据结构是以 Hash 表,也就是 hashkey-value 的形式保存,可以对单个字段进行CRUD更加灵活
为什么已经存在 redis 中了还需要存到 treadlocal?
- 减少服务器的交互,提升性能,
- 方便后续逻辑处理,比如:方便获取和使用用户信息,Redis获取用户信息是具有侵入性的
视频软件如何维护登录状态?
那就直接设计一个过期时间很久的 jwt,或者返回的时候制定 cookie 过期时间(这样 cookie 就会存在磁盘中,关闭浏览器也不会失去 cookie)。
JWT 如何设置过期时间?
JWTS 工具类里面setExpiration 设置。还需设置 header 中的签名算法,签名密钥。设置有效载荷 claims 等
什么时候用 JWT 什么时候用 cookie session?
session+cookies是基于web的,移动端用不了 cookie,所以移动端一些 api 用 jwt,开发 web 应用的话都可以。
Cookie Session JWT 会话跟踪技术对比
会话:
在 web 开发中,浏览器和服务器之间的一次连接就称之为会话。只要浏览器和服务器不断开连接,那么就是属于一个会话。那么如果一个浏览器在未关闭之前请求了多次服务器,那么这些请求属于同一个回话。
会话跟踪:
就是一种维护浏览器状态的方法。我们后端服务器需要识别多次请求是否来自于同一个浏览器,从而实现在多次请求之间共享数据。从而解决 HTTP 协议是无状态的协议的问题,去辨别多次请求是否属于同一个会话,从而在一次会话的多次请求之间共享数据。
Cookie 数据存储在浏览器(客户端会话跟踪技术)
比如第一次请求登录接口,顺利通过登录校验完成之后,我们就可以设置一个cookie【HttpServletResponse 的 addCookie 方法】在 cookie 当中我们可以来存储用户相关的一些数据信息。比如我可以在 cookie 当中来存储当前登录用户的用户名,用户的ID 等等。
服务器端在给客户端响应数据的时候,会将 cookie 响应给浏览器(放在响应头 Set-Cookie 中),浏览器接收到响应回来的 cookie 之后,会自动的将 cookie 的值存储在浏览器本地。接下来在后续的每一次请求当中,都会将浏览器本地所存储的 cookie 自动地携带到服务端(放在请求头 Cookie 中)。
接下来在服务端我们就可以去获取 cookie 。【HttpServletResponse 的 getCookie 方法】判断这个 cookie 中的值是否存在,如果不存在这个cookie,就说明客户端之前是没有访问登录接口的,那后续的页面也就不能被访问,只能让他访问登录界面;如果存在 cookie 的值,就说明客户端之前已经登录完成了。这样我们就可以基于 cookie 在同一次会话的不同请求之间来共享数据。
优点:是 HTTP 中支持的技术,浏览器对于 Cookie 的自动发送和接受存储都是自动的,不需要我们手动操作
缺点:
- 移动端的 APP 无法使用 cookie
- 不是很安全因为用户可以自己禁用 cookie
- 跨域的话不能用 cookie(协议,IP地址,端口三者缺一就是跨域)
Session 数据存储在服务器(服务端会话跟踪技术)
比如浏览器第一次请求服务器的时候,这时候服务器会创建一个会话对象 Session,可以往 Session 中存储一些数据,且每一个会话对象都有一个 JsessionID。【HttpSession 的 setAttribute()方法】
接下来服务器在给浏览器相应数据的时候,就会把 Session 的 ID 通过 Cookie 响应给浏览器(放在响应头 Set-Cookie 中,cookie 的名字是固定的 JsessionID ——代表的服务器端会话对象 Session 的 ID)浏览器会自动识别这个响应头,然后将 Cookie 存在浏览器本地。
接下来,在后续的每一次请求当中,都会将 Cookie 携带到服务端(放在请求头 Cookie 中)。服务器拿到 JSESSIONID 这个 Cookie 的值,也就是 Session 的ID。拿到 ID 之后,就会从众多的 Session 当中来找到当前请求对应的会话对象Session。【HttpSession 的 getAttribute() 方法】
这样就可以 通过 Session 会话对象,在同一次会话的多次请求之间来共享数据了
优点: Session 是存储在服务端的,安全
缺点:
1.服务器集群不能直接用 Session。请求->负载均衡服务器->后端服务器 tomcat 集群
2.还有 Cookie 的问题:
a. 不能跨域(IP 地址,端口号,协议)
b. 用户可以自己禁用 Cookie
c. 移动端不能用 Cookie
令牌技术
令牌,其实它就是一个用户身份的标识,其实本质就是一个字符串。
在请求登录接口的时候,如果登录成功,我就可以生成一个令牌,令牌就是用户的合法身份凭证。接下来我在响应数据的时候,我就可以直接将令牌响应给前端。
前端程序接收到令牌之后,就需要将这个令牌存储起来。这个存储可以存储在 cookie 当中,也可以存储在其他的存储空间(比如:localStorage)当中。
接下来,在后续的每一次请求当中,都需要将令牌携带到服务端。携带到服务端之后,接下来我们就需要来校验令牌的有效性。如果令牌是有效的,就说明用户已经执行了登录操作,如果令牌是无效的,就说明用户之前并未执行登录操作。
如果是在同一次会话的多次请求之间,我们想共享数据,只需要将共享的数据存储在令牌当中就可以了。
优点:1. 支持 PC 端 支持移动端
2. 解决了集群环境下的认证问题(因为不需要在服务器端存储数据)
3. 减轻了服务器的存储压力(令牌存储在客户端)
缺点:1. 需要自己实现令牌的生成,令牌的传递,令牌的校验
