当前位置：首页 > backend >正文

Redis-黑马点评

backend 2025/5/11 4:05:37

短信登录

基于Session实现登录

发送短信验证码

短信验证码登录、注册

校验登录状态

1.发送短信验证码

  @Overridepublic Result sendCode(String phone, HttpSession session) {//1.校验手机号(工具类，检查手机号是否有效)if (RegexUtils.isPhoneInvalid(phone)) {//2. 如果不符合，返回错误信息return Result.fail("手机号格式错误！");}//3.符合、生成验证码 (随机生成)String code = RandomUtil.randomNumbers(6);//4.保存验证码到sessionsession.setAttribute("code",code);//5.发送验证码log.debug("发送短信验证码成功，验证码：{}",code);//6.返回okreturn Result.ok();}

2.短信验证码登录、注册

@Overridepublic Result login(LoginFormDTO loginForm, HttpSession session) {//1.校验手机号String phone = loginForm.getPhone();if (RegexUtils.isPhoneInvalid(phone)) {//2. 如果不符合，返回错误信息return Result.fail("手机号格式错误！");}//2.校验验证码Object cacheCode = session.getAttribute("code");String code = loginForm.getCode();if(cacheCode == null || !cacheCode.equals(code)){//3.不一致、报错return Result.fail("验证码错误！");}//4.一致，根据手机号查询用户  select * from tb_user where phone = 7User user = query().eq("phone", phone).one();//5.判断用户是否存在if(user == null){//6.1 不存在，创建用户user = createUserWithPhone(phone);}//7.保存用户信息到session中session.setAttribute("user",user);return Result.ok();}private User createUserWithPhone(String phone) {//1.创建用户User user = new User();user.setPhone(phone);user.setNickName(USER_NICK_NAME_PREFIX+RandomUtil.randomString(10));//2.保存用户save(user);return user;}

3.登录验证功能

配置拦截器使之生效。

public class LoginIntercepter implements HandlerInterceptor {/*** 前置拦截器*/@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//1.获取sessionHttpSession session = request.getSession();//2.获取session中的用户Object user = session.getAttribute("user");//3.判断用户是否存在if(user == null){//4.1 不存在，拦截response.setStatus(401);return false;}//5.存在，保存用户信息到ThreadLocalUserHolder.saveUser((UserDTO) user);//6.放行return true;}@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {// 移除用户UserHolder.removeUser();}
}

@Configuration
public class MvcConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) { //拦截器的一个注册器registry.addInterceptor(new LoginIntercepter()).excludePathPatterns("/user/code","/user/login","/blog/hot","/shop/**","/shop-type/**","/upload/**","/voucher/**");}
}

刚开始使用的user对象，但是通过浏览器观察此时用户全部信息都在，导致信息泄露，所以返回用户信息之前，将用户的敏感信息进行隐藏。核心思路是书写一个userDTO对象，这个dto对象没有敏感信息，在返回前，将用户敏感信息的user，转化为没有敏感信息的userDTP对象，避免这些问题。

集群的session共享问题

session的共享问题：多台Tomcat并不共享session存储空间，当请求切换到不同tomcat服务时导致数据丢失的问题。

每个tomcat中都有一份属于自己的session，假设用户第一次访问第一台tomcat，，并且把自己的信息放到第一台服务器的session中，

但是第二次这个用户访问到了第二台tomcat，那么在第二台服务器上，肯定没有第一台服务器存放的session，所以此时整个登录拦截功能就会出现问题，我们能如何解决这个问题呢？早期的方案是session拷贝，就是说虽然每个tomcat上都有不同的session，但是每当任意一台服务器的session修改时，都会同步给其他的Tomcat服务器的session，这样的话，就可以实现session的共享了。但是这个方案具有两个问题：

1.每台服务器中都有一份完整的session数据，服务器压力过大。

2.session拷贝数据时，可能会出现延迟

session的替代方案应该满足：

数据共享
内存存储
key、value结构

基于Redis实现共享session登录

保存登录的用户信息，可以使用String结构，以JSON字符串来保存，比较直观：

Hash结构可以将对象中的每个字段独立存储，可以针对单个字段做CRUD，并且内存占用更少：

采用redis代替session

设计key，可以使用String结构，简单的key、value键值对的方式，关于key的处理，session他每个用户都有自己的session，但是redis的key是共享的，不能使用code了。

key要满足两点：

1.key要具有唯一性
2.key要方便携带

整体流程

注册完成后，用户登录会校验用户提交的手机号和验证码是否一致，如果一致，则根据手机号查询用户信息，不存在则新建，最后将用户数据保存到redis，并且生成token作为redis的key，校验用户登录时会携带着token进行访问，从redis中取出token对应的value，判断是否存在这个数据，如果没有则拦截，如果存在则将其保存到threadLocal中，并且放行。

修改代码

1.验证码存入session中改为存入redis

//4.保存验证码到session//保存到redis当中//session.setAttribute("code",code);stringRedisTemplate.opsForValue().set(LOGIN_CODE_KEY+phone,code,LOGIN_CODE_TTL, TimeUnit.MINUTES);

2.修改登录

 /*** 短信验证码登录、注册* @param loginForm* @param session* @return*/@Overridepublic Result login(LoginFormDTO loginForm, HttpSession session) {//1.校验手机号String phone = loginForm.getPhone();if (RegexUtils.isPhoneInvalid(phone)) {//2. 如果不符合，返回错误信息return Result.fail("手机号格式错误！");}// TODO  3.从redis中获取验证码并校验String cacheCode = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY+phone);String code = loginForm.getCode();if(cacheCode == null || !cacheCode.equals(code)){//不一致、报错return Result.fail("验证码错误！");}//4.一致，根据手机号查询用户  select * from tb_user where phone = 7User user = query().eq("phone", phone).one();//5.判断用户是否存在if(user == null){//6. 不存在，创建用户user = createUserWithPhone(phone);}//7.保存用户信息到session中//7.1随机生成token，作为登录令牌String token = UUID.randomUUID().toString(true);//7.2将user对象转为Hash存储UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);Map<String, Object> userMap = BeanUtil.beanToMap(userDTO,new HashMap<>(),CopyOptions.create().setIgnoreNullValue(true).setFieldValueEditor((fieldName,fieldValue)-> fieldValue.toString()));//7.3存储(给token设置一个有效期）String tokenKey = LOGIN_USER_KEY + token;stringRedisTemplate.opsForHash().putAll(tokenKey,userMap);// session.setAttribute("user", BeanUtil.copyProperties(user, UserDTO.class));//7.4 设置token有效期stringRedisTemplate.expire(tokenKey,LOGIN_USER_TTL,TimeUnit.MINUTES);//8.返回tokenreturn Result.ok(token);}

3.设置token有效期

在更改校验登录状态时，给token设置了一个有效期，但是这个有效期用户用或者不用，都会在半小时之后过期，索引需要不断更新过期时间，在登录拦截器中进行设置。


public class RefreshTokenIntercepter implements HandlerInterceptor {private StringRedisTemplate stringRedisTemplate;/**使用有参构造方法*/public RefreshTokenIntercepter(StringRedisTemplate stringRedisTemplate) {this.stringRedisTemplate = stringRedisTemplate;}/*** 前置拦截器*/@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//1.获取session// 获取请求头中的token//HttpSession session = request.getSession();String token = request.getHeader("authorization");if (StrUtil.isBlank(token)) {
//            //不存在，拦截，返回401状态码
//            response.setStatus(401);return true;}//2.获取session中的用户// Object user = session.getAttribute("user");// 2.基于toekn获取redis中的用户String key= RedisConstants.LOGIN_USER_KEY+token;Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(key);//3.判断用户是否存在if(userMap.isEmpty()){
//            //4.1 不存在，拦截
//            response.setStatus(401);return true;}//5.将查询到的Hash数据转为UserDTO对象UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);//6.存在，保存用户信息到ThreadLocalUserHolder.saveUser(userDTO);//7.刷新token有效期stringRedisTemplate.expire(key,RedisConstants.LOGIN_USER_TTL, TimeUnit.MINUTES);//6.放行return true;}@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {// 移除用户UserHolder.removeUser();}

都设置好后，登录报错，出现服务器异常，原因是：

使用的stringRedisTemplate是string类型的，而UserDto中id是long类型的，我们把数据转为map时，无法将long类型的转换为string类型。所以我们在转换为map时，要保证，所有类型都是string类型。

1.TODO 登陆后删除验证码

验证码不必删除，设置了过期时间

登录拦截器的优化

在这个方案中，他确实可以使用对应路径的拦截，同时刷新登录token令牌的存活时间，但是现在这个拦截器他只是拦截需要被拦截的路径，假设当前用户访问了一些不需要拦截的路径，那么这个拦截器就不会生效，所以此时令牌刷新的动作实际上就不会执行，所以这个方案他是存在问题的。

既然之前的拦截器无法对不需要拦截的路径生效，那么我们可以添加一个拦截器，在第一个拦截器中拦截所有的路径，把第二个拦截器做的事情放入到第一个拦截器中，同时刷新令牌，因为第一个拦截器有了threadLocal的数据，所以此时第二个拦截器只需要判断拦截器中的user对象是否存在即可，完成整体刷新功能。

package com.hmdp.utils;import cn.hutool.core.bean.BeanUtil;
import cn.hutool.core.util.StrUtil;
import com.hmdp.dto.UserDTO;
import com.hmdp.entity.User;
import org.springframework.beans.BeanUtils;
import org.springframework.context.annotation.Bean;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.web.servlet.HandlerInterceptor;import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.util.Map;
import java.util.concurrent.TimeUnit;/*** 基于spring构建的对象，可以使用注解注入，但是手动创建的对象，不可以*/public class LoginIntercepter implements HandlerInterceptor {//    private StringRedisTemplate stringRedisTemplate;
//
//    /**
//     使用有参构造方法
//     */
//    public LoginIntercepter(StringRedisTemplate stringRedisTemplate) {
//        this.stringRedisTemplate = stringRedisTemplate;
//    }/*** 前置拦截器*/@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//判断是否需要取拦截（ThreadLocal中是否有用户if(UserHolder.getUser() == null){//不存在，拦截，返回401状态码response.setStatus(401);return false;}//有用户，则放行return true;}}

package com.hmdp.config;import com.hmdp.utils.LoginIntercepter;
import com.hmdp.utils.RefreshTokenIntercepter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;import javax.annotation.Resource;@Configuration
public class MvcConfig implements WebMvcConfigurer {@Autowiredprivate StringRedisTemplate stringRedisTemplate;@Overridepublic void addInterceptors(InterceptorRegistry registry) { //拦截器的一个注册器registry.addInterceptor(new LoginIntercepter()).excludePathPatterns("/user/code","/user/login","/blog/hot","/shop/**","/shop-type/**","/upload/**","/voucher/**").order(1);//先执行registry.addInterceptor(new RefreshTokenIntercepter(stringRedisTemplate)).addPathPatterns("/**").order(0);}
}

查看全文

http://www.xdnf.cn/news/4411.html