黑马点评--基于Redis实现共享session登录

集群的session共享问题分析

session共享问题：多台Tomcat无法共享session存储空间，当请求切换到不同Tomcat服务时，原来存储在一台Tomcat服务中的数据，在其他Tomcat中是看不到的，这就导致了导致数据丢失的问题。

虽然系统为单体式的架构，但是为了将来应对并发要做水平扩展，部署多个形成负载均衡的集群。

当请求进入nignx会在多台Tomcat之间做一个轮询，每一个Tomcat都有自己的session空间，假设用户请求第一次被负载均衡到了Tomcat1，去发送验证码或者登录时所获取到的用户信息仅仅是保存到这一台Tomcat里了，当用户第二次来执行某些业务被负载均衡到了第二台Tomcat服务上，当该服务要去获取验证码或者用户信息时，而他自身的session内存空间空无一物，这时服务就会中断。

这就是session共享问题。

解决方案：

在初期，为了解决session共享问题，官方提供了session拷贝功能，多台Tomcat之间只要做好一些配置，它们之间就可以互相实现一个数据拷贝，但数据拷贝也有不小的问题，首先就是多台Tomcat保存相同的数据，浪费内存空间，其次拷贝数据是需要时间的，这就造成了时间延迟，在这个延迟之间如果有服务来访问，依旧会造成数据不一致的问题。问题太多，该方案就被pass了。

因此就必须寻找到可以替代session的方案，且必须满足：

• 数据共享

• 内存存储（因为session是基于内存的，读写效率较高，像登录校验这种业务访问频率较高，需要满足高并发的需求）

• 键值对结构（session存储较为简单）

这就是Redis，首先redis是在Tomcat以外的一个存储方案，，任意一台Tomcat都能访问到Redis，所以就可以实现数据共享了，就不会出现数据丢失的情况 其次Redis就是存储在内存中的，而且性能非常强，并且redis就是键值对类型的数据库，因此我们是可以用redis来代替session。

基于Redis实现共享session登录

业务流程

如果要使用Redis来代替session，那么前面的短信登录业务也有相应的变化。

比如在发送验证码的业务流程中，需要将验证码存入redis，并且还需要考虑value是什么类型的数据结构，存入验证码时就可以直接用String类型即可。

而key类型就不能和原先一致，因为session在发送请求的时候都有一个独立的session，在Tomcat服务中维护了很多session，那么不同浏览器携带的手机号请求服务时都有着自己独立的session，这些服务都是使用code作为key，但是互相之间互不干扰。

在使用session时，不需要考虑取数据的问题，因为Tomcat会自动的帮助我们去维护session：浏览器发去请求时，Tomcat就为浏览器新建一个session，如果session存在，直接使用即可，在创建session时，就会自动创建sessionID写入到对应浏览器的cookie中，以后浏览器的每次请求就会带着cookie，带着sessionID,这样就能精确找到对应的session，也不用去考虑取的问题。

但redis是一个共享的内存空间，不管是哪个服务发请求，都是往redis的内存空间存储的，如果每个服务使用的key都是code，就会相互覆盖，就会造成数据丢失。而必须要确保每次不同服务访问的key都不同。

那既然如此，那就直接将手机号码作为每个服务的key，这样就能保证每个服务都有自己不同的key，这样的操作也有助于将来我们去获取验证码进行验证。

现在要使用redis，没有维护，现在以手机为key存入进去，那浏览器做登录时还需要带着这个key的值来取，才可以验证。

而在等短信验证码登录注册时，需要将手机号码与验证码存入，正好可以根据手机号码去拿到value。

再去根据手机号查询用户，如果用户存在，则将用户存入redis中。

此时需要考虑两个问题，一是value的数据类型选择问题，二是考虑key的命名，

在短信登录业务存入的是Java对象，那么redis的value虽然可以使用string类型，用json字符串保存，比较直观，但是无法针对单个字段作出修改，只能修改整个字段。

这时可以使用hash类型，hash结构可以将对象中的每个字段独立存储，可以针对单个字段做修改，并且内存占用更少（Hash结构只需要保存数据本身即可，但是String类型还需要保存json字符串的格式）。

如果从优化角度来看，比较推荐Hash结构。

而key的要求也有两点：一是唯一性，二是较为便携。

这里推荐使用随机的token（随机字符串，可以使用UUID来生成）作为key存储用户数据。

而在登录校验这一业务中，以前使用session时的登录凭证就是sessionID，被存在浏览器的cookie中被一直携带，且一直被Tomcat维护。

而现在使用的redis来代替session，则我们使用的随机token则是登录凭证，也就意味着以后浏览器来访问我们需要携带token将其作为凭证。而Tomcat不会将其自动的写入浏览器中，我们需要手动的将其返回前端，那么此处流程就产生了变化。

那当服务器拿到token之后，我们就可以基于token来从redis获取用户信息，剩下校验登录状态流程就不变

而登录凭证是通过前端的逻辑代码进行接收并保留的，在前端使用axios的拦截器，利用拦截器将用户token放在“authorization”头，这样每一条用户请求就会携带token。如果我们使用手机号码作为key去保存，将来返回到前端直接保存在浏览器会有泄漏的风险。这就是我们key不能再次使用手机号码的原因。

代码修改

发送验证码

 @Overridepublic Result sendCode(String phone, HttpSession session) {//1.校验手机号if (RegexUtils.isPhoneInvalid(phone)) {//2.如果不符合，返回错误信息return Result.fail("手机号格式错误");}//3.如果符合，生成验证码String code = RandomUtil.randomNumbers(6);//4.保存验证码到redis 还需要给验证码设置有效时间 set key value ex 120//一般都会定义一个工具类来保存常量，避免重复及手误stringRedisTemplate.opsForValue().set(LOGIN_CODE_KEY+phone,code,LOGIN_CODE_TTL, TimeUnit.MINUTES);//5.发送验证码(模拟发送验证码，该业务并未实现)log.debug("发送短信验证码成功，验证码：{}",code);// 6.返回结果return Result.ok();}

短信验证码登录注册

 @Overridepublic Result login(LoginFormDTO loginForm, HttpSession session) {//1.校验手机号String phone = loginForm.getPhone();if (RegexUtils.isPhoneInvalid(phone)) {//2.如果不符合，返回错误信息return Result.fail("手机号格式错误");}//2.从Redis中获取验证码并校验String cacheCode = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY + phone);String code = loginForm.getCode();// 一般校验时，从反向校验，这种校验不需要if嵌套，否则会嵌套if,避免if嵌套过深if (cacheCode == null || !cacheCode.equals(code)){//3.不一致，返回错误信息return Result.fail("验证码错误");}//4.一致，根据手机号查询用户 select   * from user where phone = ?User user = query().eq("phone", phone).one();//5.判断用户是否存在if (user == null){//6.不存在，创建新用户并保存// 方法定义在函数中 创建用户//在创建完用户到数据库后还需要保存在session中，所以直接赋值给useruser = createUserWithPhone(phone);}//7.保存用户信息到redis,//7.1随机生成token，作为登录令牌String token = UUID.randomUUID().toString(true);//7.2将user对象转换为hash存储UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);//7.3存储到redis中 利用工具类将userDTO转为mapstringRedisTemplate.opsForHash().putAll(LOGIN_USER_KEY+token,BeanUtil.beanToMap(userDTO));// 7.4设置token有效期stringRedisTemplate.expire(LOGIN_USER_KEY+token,LOGIN_USER_TTL,TimeUnit.MINUTES);//7.4返回token给客户端return Result.ok(token);}

问题提出：

在之前使用session时，session的有效期是30分钟，但session的有效期是指只要一直在访问session，那么session的有效期就一直是30分钟，只有超过30分钟不访问session，session才会失效。

但是redis的有效时间就是从新建到移除的时间，不在乎是否访问，这样就有弊端。

应该像session一样，只要用户在访问，就应该更新有效时间（即Redis中的token有效期），但是Redis无法得知用户有没有访问服务端，也无法得知用户何时访问服务端。

而在登录拦截校验中，我们所有的请求访问时都要经过拦截器的拦截与校验，只要经过了这个校验，就能证明该浏览器是一个正在活跃着的用户，这是我们就可以更新redis的有效期。

这样就可以做到和session一样的效果，只要有浏览器访问服务端，那么Redis就会去更新token的有效期。所以在接下来修改登录拦截校验代码时还需要添加更新token有效期的逻辑。

代码如下：

 public class LoginInterceptor implements HandlerInterceptor {private StringRedisTemplate stringRedisTemplate;public LoginInterceptor(StringRedisTemplate stringRedisTemplate) {this.stringRedisTemplate = stringRedisTemplate;}// 前置拦截器@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 1.获取请求头中的tokenString token = request.getHeader("authorization");// 判断是否存在if (StrUtil.isBlank(token)) {response.setStatus(401);return false;}//  2.以token为key获取redis的用户Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(LOGIN_USER_KEY + token);//  3.判断用户是否存在if (userMap.isEmpty()) {//  4.不存在 拦截器拦截 返回401状态码 未授权response.setStatus(401);return false;}//5.将查询到的Hash数据转换为UserDTO对象UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);//  6.存在，保存用户信息到ThreadLocal// 在工具类中定义了一个UserHolder 是一个线程安全的ThreadLocal变量，用于保存当前线程的用户信息。// 其中有三个方法：saveUser（ 保存），getUser（拿到），removeUser（移除）。UserHolder.saveUser(userDTO);//7.刷新token有效期stringRedisTemplate.expire(LOGIN_USER_KEY+token, LOGIN_USER_TTL, TimeUnit.MINUTES);//8.放行return true;}​//  拦截器 后处理@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {//  移除用户 避免用户泄漏UserHolder.removeUser();}}

修改成功，

测试结果：

报错，类强制转换异常ClassCastException，redis serializer报错 long类型不能转换成String类型，在UserServiceImpl中向redis存入用户信息时报错，userMap来自userDTO，userDTO中的id为long类型，无法存储到redis中去，因为我们使用的RedisTemplate为StringRedisTemplate，他要求key与value都必须是string类型，但userMap中的id为long类型，因此报错。

解决方案：

• 自己在重写toMap函数，在将userDTO转换成userMap时将值的类型转换成string字符串

• 提供的工具类有自定义的功能，如下所示

 Map<String, Object> userMap = BeanUtil.beanToMap(userDTO,new HashMap<>(),CopyOptions.create().setIgnoreNullValue(true).setFieldValueEditor((fieldName,fieldValue)->fieldValue.toString()));

再次测试：

解决状态登录刷新的问题

问题引入：

目前的短信登录拦截器无法做到只要用户一直登陆就不会过期。

因为拦截器拦截的不是一切路径，而是那些需要登录校验的路径，比如user/me,或者将来用户的下单，支付这样一些对用户信息有需求的路径，或者说被拦截器拦截的路径，但拦截器并不是拦截一切。

如果用户一直访问的是不需要登录的页面，比如首页或者商户详情页，这些不需要登录校验就可以看，这些就不会去刷新有效期，过了指定的有效期后，即使用户还在访问，但token就会被移除，问题因此出现。

解决方案：

在原有拦截器的基础上再加上一个拦截器，这样用户请求就要先经过第一个拦截器，在经过第二个，第一个拦截器拦截全部路径，所有请求都会被拦截，就可以在这个拦截器中做刷新token有效期的业务（获取token，查询Redis用户，保存到ThreadLocal中，刷新token有效期，放行），第一个拦截器不做拦截，这样就可以确保一切请求都可以触发刷新的动作，第二个拦截器只需要做拦截业务（查询ThreadLocal的用户，不存在则拦截，存在，则继续）即可

代码展示：

LoginInterceptor.java

 public class LoginInterceptor implements HandlerInterceptor {// 前置拦截器@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//1.判断是否需要拦截（ ThreadLocal中是否有用户）if (UserHolder.getUser() == null) {//  2.没有，拦截，返回401response.setStatus(401);return false;} else {// 有用户，放行return true;}}

RefreshTokenInterceptor.java

 public class RefreshTokenInterceptor implements HandlerInterceptor {private StringRedisTemplate stringRedisTemplate;​public RefreshTokenInterceptor(StringRedisTemplate stringRedisTemplate) {this.stringRedisTemplate = stringRedisTemplate;}​// 前置拦截器@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 1.获取请求头中的tokenString token = request.getHeader("authorization");// 判断是否存在if (StrUtil.isBlank(token)) {return true;}//  2.以token为key获取redis的用户Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(LOGIN_USER_KEY + token);//  3.判断用户是否存在if (userMap.isEmpty()) {//  4.不存在 拦截器拦截 返回401状态码 未授权return true;}//5.将查询到的Hash数据转换为UserDTO对象UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);//  6.存在，保存用户信息到ThreadLocal// 在工具类中定义了一个UserHolder 是一个线程安全的ThreadLocal变量，用于保存当前线程的用户信息。// 其中有三个方法：saveUser（ 保存），getUser（拿到），removeUser（移除）。UserHolder.saveUser(userDTO);//7.刷新token有效期stringRedisTemplate.expire(LOGIN_USER_KEY + token, LOGIN_USER_TTL, TimeUnit.SECONDS);//8.放行return true;}​//  拦截器 后处理@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {//  移除用户 避免用户泄漏UserHolder.removeUser();}}

装配拦截器：

@Configurationpublic class MvcConfig implements WebMvcConfigurer {@Resourceprivate StringRedisTemplate stringRedisTemplate;@Overridepublic void addInterceptors(InterceptorRegistry registry) {//  登录拦截器registry.addInterceptor(new LoginInterceptor())//  除了这些路径，其他路径都进行拦截.excludePathPatterns("/user/code","/user/login","/blog/hot","/voucher/**","/shop/**","/shop-type/**","/upload/**","/blog/query/hot","/druid/**").order(1);// token刷新拦截器registry.addInterceptor(new RefreshTokenInterceptor(stringRedisTemplate)).addPathPatterns("/**").order(0);}}

如何控制拦截器的前后顺序：在源码中order的值越大，优先级越低，值越小，优先级越高。

测试成功，无论访问哪个页面，都会刷新token的有效期。

至此，基于Redis实现共享session登录的业务完成。

总结：基于Redis改造短信登录，改造的点如下：

• 发送短信验证码时将验证码存入redis中，key使用的是手机号码，value的类型为String

• 短信登录时保存用户到Redis，key要保证唯一以及便携，因此将key设为了UUID，放在了前端的请求头中，返回给了用户，保存到浏览器中，这样一来浏览器可以携带token来访问服务端，从而实现登陆的效果。

注意事项：

• 在使用redis存储数据的时候，key的规范非常重要。还有数据类型的选择，code选择String类型，而用户选择了Hash类型。

• 我们在存储数据的过程中，要记得设置存储有效期。

• 要选择合适的存储粒度，我们并没有存储完整的用户信息，而是将一些敏感信息给去掉了，只保存一些不太敏感、页面需要的数据，这样还可以节省内存空间