这几天在做一个小项目,没有数据权限、菜单权限,所以呢就决定不使用权限验证框架了。登录呢,就直接用redis存储登录的用户信息就行了。
实现及存在问题:
一开始的实现思路大概就是:调用登录接口,校验用户名和密码是否正确,如果正确的话,直接生成一个随机字符串作为token,返回会给前端,同时用这个token作为redis中的key,value则存储的是当前登录的用户信息。然后在拦截器中,直接根据请求头中携带的token去redis找这个key,存在则放行,不存在则提示用户未登录。
存在问题:我以为这样是没有问题的,结果后面去redis一看,十几个key,点开一看全是同一个用户的,我直接好家伙藍。
解决思路:
一个用户同时不能有多个token,它们是一对一的关系。目前想到了两种解决方式。
方式一:
以用户名作为redis的key,用户信息作为value(用户信息里面有token),在登录的时候,用户名密码验证通过,不用做其他处理,直接存就行。然后在拦截器中,需要遍历全部的redis中全部的用户名key,拿到它们的token去和请求头里的token进行匹配,能匹配到说明用户登录还没过期,则放行;没有匹配到说明token(登录)失效了,需要重新登录,则提示用户未登录。
方式二:
用户名和token分别为key:用户名key的value是用户信息(用户信息里面有token);token key的value是用户名。
登录时用户名密码验证通过后,先根据要登录的用户名去redis查找这个key是否存在,存在说明已经登录了,在已登录的信息里面找到token,把旧的用户名和token都给删除掉,然后再保存新的登录信息到redis中(随机生成一个新的token,设置到用户信息中,然后redis分别以用户名和新token作为key,存储登录信息)。
拦截器中:
请求头的token在redis中存在 获取对应的用户名,判断这个用户名是否存在,存在则放行;不存在则提示用户未登录,同时把redis中的这个token给删掉。 请求头的token在redis中不存在 提示用户未登录。
代码实现
方式一:
主要的逻辑在拦截器里:
/** * 登录拦截器 */ public class LoginInterceptor implements HandlerInterceptor { private boolean result(HttpServletResponse response) throws IOException { ResultVo resultVo = new ResultVo(); resultVo.setCode(1003); resultVo.setMessage("用户未登录,请进行登录"); response.getWriter().write(JSONUtil.toJsonStr(resultVo)); return false; } @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)throws Exception { response.setHeader("Access-Control-Allow-Origin", (request).getHeader("Origin")); response.setHeader("Access-Control-Allow-Credentials", "true"); response.setCharacterEncoding("UTF-8"); response.setContentType("application/json"); // 获取请求头中的token String token = request.getHeader(BaseConstant.tokenHeader); RedisUtil redisUtil= SpringUtil.getBean(RedisUtil.class); SysUser sysUser = null; // 根据缓存前缀,获取所有以改前缀开头的键(缓存前缀是自定义的) Set set = redisUtil.allKey(BaseConstant.cachePrefix + "*"); for (Object o : set) { Object o1 = redisUtil.get(o.toString()); if (o1 instanceof SysUser){ SysUser user = (SysUser) o1; // 用户信息中的token和请求头中的token进行匹配 if (token.equals(user.getToken())){ sysUser = user; break; } } } // sysUser为null,说明没匹配成功,提示未登录;否则说明两个token匹配成功,用户已登录,放行。 if (Objects.isNull(sysUser)){ return result(response); } // 获取当前用户的登录有效期,如果不是 -1,则每次请求时,刷新它的有效期 long expire = redisUtil.getExpire(BaseConstant.cachePrefix + sysUser.getUserName()); if (expire != -1){ redisUtil.set(BaseConstant.cachePrefix+sysUser.getUserName(),sysUser,1800); } return true; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,ModelAndView modelAndView) throws Exception { } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { } }
RedisUtil 就不写全了,可以去网上找一大把,或者点我以前的文章都有的,在这里补充一个方法,就是获取某个文件夹下的所有的key,也就是拦截器里面用到的缓存前缀,这个可以自定义,我的缓存前缀格式是:**项目名称-token:login:** ,这里后面拼接的就是用户名了。比如:**项目名称-token:login:admin**
/** * redis工具类 */ @Component public class RedisUtil { @Resource private RedisTemplate redisTemplate; // ......省略其他方法 /** * 获取某个文件夹下的所有的key * @param obj 文件夹名称(缓存前缀+*) */ public <T> Set<T> allKey(Object obj){ return redisTemplate.keys(obj); } }
登录controller
@RestController @RequestMapping("/sys/login") public class SysLoginController { @PostMapping("/webLogin") public ResultVo webLogin(String userName, String password, HttpServletRequest request){ try { // 这里校验用户名和密码是否正确,用户名或者密码错误,都会直接抛出异常(ExceptionVo 是我自定义的一个异常) SysUser user = check(userName, password); // 随机生成一个32位的token字符串 String token = IdUtil.generateToken(32); user.setToken(token); // 将用户登录信息保存到redis中 redisUtil.set(BaseConstant.cachePrefix+userName,user,1800); return ResultUtil.success(token); } catch (ExceptionVo e) { return ResultUtil.error(e.getCode(),e.getMessage()); }catch (Exception e) { e.printStackTrace(); return ResultUtil.error(BaseConstant.UNKNOWN_EXCEPTION); } } } public class IdUtil { /** * 根据指定长度随机生成字符串 */ public static String generateToken(int length) { String str = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"; Random random = new Random(); StringBuffer sb = new StringBuffer(); for(int i = 0; i < length; ++i) { int number = random.nextInt(62); sb.append(str.charAt(number)); } return sb.toString(); } }
方式二:
拦截器:
/** * 登录拦截器 */ public class LoginInterceptor implements HandlerInterceptor { private boolean result(HttpServletResponse response) throws IOException { ResultVo resultVo = new ResultVo(); resultVo.setCode(1003); resultVo.setMessage("用户未登录,请进行登录"); response.getWriter().write(JSONUtil.toJsonStr(resultVo)); return false; } @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)throws Exception { response.setHeader("Access-Control-Allow-Origin", (request).getHeader("Origin")); response.setHeader("Access-Control-Allow-Credentials", "true"); response.setCharacterEncoding("UTF-8"); response.setContentType("application/json"); // 获取请求头中的token String token = request.getHeader(BaseConstant.tokenHeader); RedisUtil redisUtil= SpringUtil.getBean(RedisUtil.class); String userName = ""; // 判断token在redis中是否存在,不存在提示未登录 if (StrUtil.isEmpty(token) || Objects.isNull(redisUtil.get(BaseConstant.cachePrefix+token))){ return result(response); }else if (Objects.nonNull(redisUtil.get(BaseConstant.cachePrefix+token))){ // token在redis中存在,获取它的value,也就是这个token对应的用户名 userName = redisUtil.get(BaseConstant.cachePrefix + token).toString(); // 判断 用户名在redis中是否存在,不存在提示未登录,并且把这个token从redis中删除 if (Objects.isNull(redisUtil.get(BaseConstant.cachePrefix+userName))){ redisUtil.del(BaseConstant.cachePrefix+token); return result(response); } } // 用户名在redis中存在,获取它的过期时间,不是 -1则刷新过期时间 long expire = redisUtil.getExpire(BaseConstant.cachePrefix + userName); if (expire != -1){ SysUser user = (SysUser) redisUtil.get(BaseConstant.cachePrefix+userName); // 用户名key 存储用户信息 redisUtil.set(BaseConstant.cachePrefix+userName,user,1800); // token key 存储用户名,这里token key比用户名 key设置的有效期长一点 redisUtil.set(BaseConstant.cachePrefix+token,userName,2100); } return true; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,ModelAndView modelAndView) throws Exception { } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { } }
登录controller
@RestController @RequestMapping("/sys/login") public class SysLoginController { @PostMapping("/webLogin") public ResultVo webLogin(String userName, String password, HttpServletRequest request){ try { // 这里校验用户名和密码是否正确,用户名或者密码错误,都会直接抛出异常(ExceptionVo 是我自定义的一个异常) SysUser user = check(userName, password); // 判断当前用户名是否已登录,如果登录了则把旧的用户名和token删除 if (redisUtil.hasKey(BaseConstant.cachePrefix+userName)) { SysUser u = (SysUser) redisUtil.get(BaseConstant.cachePrefix + userName); redisUtil.del(BaseConstant.cachePrefix + u.getToken()); redisUtil.del(BaseConstant.cachePrefix + userName); } // 随机生成一个32位的token字符串 String token = IdUtil.generateToken(32); user.setToken(token); // 分别用用户名和token作为key,存储对应信息到redis中 redisUtil.set(BaseConstant.cachePrefix+userName,user,1800); redisUtil.set(BaseConstant.cachePrefix+token,userName,2100); return ResultUtil.success(token); } catch (ExceptionVo e) { return ResultUtil.error(e.getCode(),e.getMessage()); }catch (Exception e) { e.printStackTrace(); return ResultUtil.error(BaseConstant.UNKNOWN_EXCEPTION); } } }
最后
以上两种方法,自行选择,我自己后面选择的是第二种方式。说起第一种方式,我记得好像 shiro 里防止用户重复登录也是要自己处理的,然后我用的时候,大概也是在缓存中获取所有session,然后遍历匹配当前登录用户,如果能匹配到就删除上一次的登录信息。不过那个是在登录的时候处理的。
像第一种方式,因为是以用户名为key存储的,不能直接用token取值,所以我只能想到遍历所有用户名key去匹配藍不然的话难道要在请求头中设置除了携带token外,把用户名也带上吗?这不太合理吧?因为每次请求都要遍历redis中的所有用户名,感觉不太行,所以我采取的是第二种方式。