實戰(zhàn) 用戶登錄、Session校驗、分布式存儲Session

作者：田維常 2021-03-08 09:56:24

一般會將web容器所在的服務(wù)器和redis所在的服務(wù)器放在同一個機(jī)房，減少網(wǎng)絡(luò)開銷，走內(nèi)網(wǎng)進(jìn)行連接。

實現(xiàn)登錄功能

然后再創(chuàng)建login.css存放于在static下，css目錄中，id 為 content 的樣式;

#content { 
        margin-left: 220px; 
        margin-right: 1420px; 
        margin-top: 100px; 
        margin-bottom: auto; 
        background-color: orange; 
    }

創(chuàng)建login.html登錄頁面

<!DOCTYPE html> 
<html lang="zh" xmlns:th="http://www.thymeleaf.org"> 
<head> 
    <meta charset="UTF-8"> 
    <title>登錄</title> 
    <!-- 如何引入本地css文件--> 
    <link rel="stylesheet" th:href="@{/css/login.css}"/> 
</head> 
<body> 
<div id="content"> 
    <!-- 錯誤是提示--> 
    <label id="errorMsg" style="color: crimson">[[${errorMsg}]]</label> 
    <form id="login_form" action="/login" method="post"> 
        姓名：<input type="text" id="uname" name="uname"><br/> 
        密碼：<input type="password" id="password" name="password"><br/> 
        <button onclick="login()">登錄</button> 
    </form> 
</div> 
</body> 
</html>

前面的這一部分是前端的，下面來把后端代碼給寫完：

UserRepository中添加方法的定義：

//通過用戶名和密碼查找用戶 
List<User> findByUnameAndPassword(String uname, String password);

UserService和實現(xiàn)類中添加方法如下：

/通過用戶名和密碼查找用戶 
List<User> findByUnameAndPassword(String uname, String password); 
UserService和實現(xiàn)類中添加方法如下： 
 
// UserService  
User login(User user); 
 
@Service 
//把事務(wù)注解放在類上了，這樣下面就不需要每次都在方法寫這個注解了 
@Transactional(rollbackFor = Exception.class) 
public class UserServiceImpl implements UserService { 
    //...... 
    @Override 
    public User login(User user) { 
        List<User> userList = userRepository.findByUnameAndPassword(user.getUname(), user.getPassword()); 
        //防止有多個用戶名相同，并且密碼也相同的用戶 
        if (!CollectionUtils.isEmpty(userList)) { 
            return userList.get(0); 
        } 
        return null; 
    } 
}

UserController中添加方法如下：

@RequestMapping(value = "/loginPage", method = RequestMethod.GET) 
public String loginPage(Model model) { 
    return "login"; 
} 
 
@RequestMapping(value = "/login", method = RequestMethod.POST) 
public String login(Model model, User user) { 
    User result = userService.login(user); 
    if (result != null) { 
        //登錄成功，跳轉(zhuǎn)到用戶列表 
        return "redirect:/userList"; 
    } 
    //不成功，提示 
    model.addAttribute("errorMsg", "用戶名或密碼不正確"); 
    return "login"; 
}

啟動項目，訪問

http://localhost:8080/loginPage

進(jìn)入登錄頁面。

輸入用戶名密碼。密碼錯誤：

輸入正確的用戶名和密碼，那么跳轉(zhuǎn)到用戶列表。

這樣，我們一個簡單的登錄功能就搞定了。

如果我們需要在修改用戶信息的時候，校驗是否已經(jīng)登錄，怎么辦呢?

攔截器

創(chuàng)建自定義的攔截器并實現(xiàn)HandlerInterceptor接口。

import org.springframework.lang.Nullable; 
import org.springframework.web.servlet.HandlerInterceptor; 
import org.springframework.web.servlet.ModelAndView; 
 
import javax.servlet.http.HttpServletRequest; 
import javax.servlet.http.HttpServletResponse; 
 
public class SessionInterceptor implements HandlerInterceptor { 
    @Override 
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { 
        //session校驗 
        Object object = request.getSession().getAttribute("users"); 
        if (null == object) { 
            response.sendRedirect("/loginPage"); 
            return false; 
        } 
        return true; 
    } 
}

創(chuàng)建一個java類繼承WebMvcConfiguraeAdapter并重寫addInterceptor方法(該類用來添加配置攔截器在該類中添加配置攔截器，以及配置過濾)。

import org.springframework.context.annotation.Configuration; 
import org.springframework.web.servlet.config.annotation.InterceptorRegistry; 
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter; 
 
@Configuration 
public class MyInterceptor extends WebMvcConfigurerAdapter { 
 
    @Override 
    public void addInterceptors(InterceptorRegistry registry) { 
        //可以添加多個攔截 
        registry.addInterceptor(new SessionInterceptor()) 
            //也可以添加多個攔截路徑，"/**"攔截所有 
                .addPathPatterns("/update/**"); 
    } 
}

再把登錄Controller方法調(diào)整，把session信息存進(jìn)去。

@RequestMapping(value = "/login", method = RequestMethod.POST) 
public String login(Model model, User user, HttpServletRequest request) { 
    User result = userService.login(user); 
    if (result != null) { 
        //用戶信息保存在session 
        request.getSession().setAttribute("users", user.getUname()); 
        return "redirect:/userList"; 
    } 
    model.addAttribute("errorMsg", "用戶名或密碼不正確"); 
    return "login"; 
}

再次訪問用戶列表：

http://localhost:8080/userList

這時候，我們訪問修改用戶信息這個功能，跳轉(zhuǎn)到了登錄頁面。

登錄后，再次訪問修改用戶信息這個功能。

這樣便來到用戶信息修改頁面。

到此，我們就實現(xiàn)了一個簡單的session來接校驗。

如果，我們服務(wù)器重啟后，session就沒了，因為session是保存在我們服務(wù)端的，并且還是在服務(wù)器內(nèi)存里的。

session分布式有四種方案

方案一：客戶端存儲

直接將信息存儲在cookie中，cookie是存儲在客戶端上的一小段數(shù)據(jù)，客戶端通過http協(xié)議和服務(wù)器進(jìn)行cookie交互，通常用來存儲一些不敏感信息

缺點

數(shù)據(jù)存儲在客戶端，存在安全隱患。
cookie存儲大小、類型存在限制。
數(shù)據(jù)存儲在cookie中，如果一次請求cookie過大，會給網(wǎng)絡(luò)增加更大的開銷。

方案二：session復(fù)制

session復(fù)制是小型企業(yè)應(yīng)用使用較多的一種服務(wù)器集群session管理機(jī)制，在真正的開發(fā)使用的并不是很多，通過對web服務(wù)器(例如Tomcat)進(jìn)行搭建集群。

缺點

session同步的原理是在同一個局域網(wǎng)里面通過發(fā)送廣播來異步同步session的，一旦服務(wù)器多了，并發(fā)上來了，session需要同步的數(shù)據(jù)量就大了，需要將其他服務(wù)器上的session全部同步到本服務(wù)器上，會帶來一定的網(wǎng)路開銷，在用戶量特別大的時候，會出現(xiàn)內(nèi)存不足的情況。

優(yōu)點

服務(wù)器之間的session信息都是同步的，任何一臺服務(wù)器宕機(jī)的時候不會影響另外服務(wù)器中session的狀態(tài)，配置相對簡單

Tomcat內(nèi)部已經(jīng)支持分布式架構(gòu)開發(fā)管理機(jī)制，可以對tomcat修改配置來支持session復(fù)制，在集群中的幾臺服務(wù)器之間同步session對象，使每臺服務(wù)器上都保存了所有用戶的session信息，這樣任何一臺本機(jī)宕機(jī)都不會導(dǎo)致session數(shù)據(jù)的丟失，而服務(wù)器使用session時，也只需要在本機(jī)獲取即可。

如何配置?

在Tomcat安裝目錄下的config目錄中的server.xml文件中，將注釋打開，tomcat必須在同一個網(wǎng)關(guān)內(nèi)，要不然收不到廣播，同步不了session，在web.xml中開啟session復(fù)制：。

方案三：session綁定：

Nginx是一款自由的、開源的、高性能的http服務(wù)器和反向代理服務(wù)器

Nginx能做什么?

反向代理、負(fù)載均衡、http服務(wù)器(動靜代理)、正向代理

如何使用nginx進(jìn)行session綁定

我們利用nginx的反向代理和負(fù)載均衡，之前是客戶端會被分配到其中一臺服務(wù)器進(jìn)行處理，具體分配到哪臺服務(wù)器進(jìn)行處理還得看服務(wù)器的負(fù)載均衡算法(輪詢、隨機(jī)、ip-hash、權(quán)重等)，但是我們可以基于nginx的ip-hash策略，可以對客戶端和服務(wù)器進(jìn)行綁定，同一個客戶端就只能訪問該服務(wù)器，無論客戶端發(fā)送多少次請求都被同一個服務(wù)器處理。

缺點

容易造成單點故障，如果有一臺服務(wù)器宕機(jī)，那么該臺服務(wù)器上的session信息將會丟失

前端不能有負(fù)載均衡，如果有，session綁定將會出問題

優(yōu)點

配置簡單

方案四：基于redis存儲session方案

優(yōu)點

這是企業(yè)中使用的最多的一種方式
spring為我們封裝好了spring-session，直接引入依賴即可
數(shù)據(jù)保存在redis中，無縫接入，不存在任何安全隱患
redis自身可做集群，搭建主從，同時方便管理

缺點

多了一次網(wǎng)絡(luò)調(diào)用，web容器需要向redis訪問。

一般會將web容器所在的服務(wù)器和redis所在的服務(wù)器放在同一個機(jī)房，減少網(wǎng)絡(luò)開銷，走內(nèi)網(wǎng)進(jìn)行連接。

來源：http://45dwz.com/xeP0J

實現(xiàn)基于redis分布式存儲session方案

安裝Redis，這里就不說了，不會安裝可以聯(lián)系我。

集成Redis

添加依賴

<dependency> 
    <groupId>org.springframework.boot</groupId> 
    <artifactId>spring-boot-starter-data-redis</artifactId> 
</dependency> 
<!-- 連接池--> 
<dependency> 
    <groupId>org.apache.commons</groupId> 
    <artifactId>commons-pool2</artifactId> 
</dependency> 
<dependency> 
    <groupId>org.springframework.session</groupId> 
    <artifactId>spring-session-data-redis</artifactId> 
</dependency>

添加Redis配置

# Redis數(shù)據(jù)庫索引（默認(rèn)為0） 
spring.redis.database=0 
# Redis服務(wù)器地址 
spring.redis.host=127.0.0.1 
# Redis服務(wù)器連接端口 
spring.redis.port=6379 
# Redis服務(wù)器連接密碼（默認(rèn)為空） 
spring.redis.password= 
# 連接池最大連接數(shù)（使用負(fù)值表示沒有限制） 
spring.redis.jedis.pool.max-active=20 
# 連接池最大阻塞等待時間（使用負(fù)值表示沒有限制） 
spring.redis.jedis.pool.max-wait=-1 
# 連接池中的最大空閑連接 
spring.redis.jedis.pool.max-idle=10 
# 連接池中的最小空閑連接 
spring.redis.jedis.pool.min-idle=0 
# 連接超時時間（毫秒） 
spring.redis.timeout=1000

將session添加入Redis中

在啟動類上添加@EnableRedisHttpSession注解。

@SpringBootApplication 
@EnableRedisHttpSession 
public class Application { 
    public static void main(String[] args) { 
        SpringApplication.run(Application.class, args); 
    } 
}