基于SessionRedis 短信登录功能实现,解决Session共享,登录状态刷新问题及Threadlocal线程隔离
Posted Perceus
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了基于SessionRedis 短信登录功能实现,解决Session共享,登录状态刷新问题及Threadlocal线程隔离相关的知识,希望对你有一定的参考价值。
短信登录功能实现
短信登录
1、准备工作
1.1 导入数据库
1.2 当前项目模型
1.3 导入后端项目
1.4 导入前端工程
1.5 运行前端项目
2 、基于Session实现登录流程
发送验证码:
短信验证码登录、注册:
校验登录状态:
2.1 实现发送短信验证码功能
页面流程
具体代码如下
提示:
发送验证码
@Override
public Result sendCode(String phone, HttpSession session)
// 1.校验手机号
if (RegexUtils.isPhoneInvalid(phone))
// 2.如果不符合,返回错误信息
return Result.fail("手机号格式错误!");
// 3.符合,生成验证码
String code = RandomUtil.randomNumbers(6);
// 4.保存验证码到 session
session.setAttribute("code",code);
// 5.发送验证码
log.debug("发送短信验证码成功,验证码:", code);
// 返回ok
return Result.ok();
登录
@Override
public Result login(LoginFormDTO loginForm, HttpSession session)
// 1.校验手机号
String phone = loginForm.getPhone();
if (RegexUtils.isPhoneInvalid(phone))
// 2.如果不符合,返回错误信息
return Result.fail("手机号格式错误!");
// 3.校验验证码
Object cacheCode = session.getAttribute("code");
String code = loginForm.getCode();
if(cacheCode == null || !cacheCode.toString().equals(code))
//3.不一致,报错
return Result.fail("验证码错误");
//一致,根据手机号查询用户
User user = query().eq("phone", phone).one();
//5.判断用户是否存在
if(user == null)
//不存在,则创建
user = createUserWithPhone(phone);
//7.保存用户信息到session中
session.setAttribute("user",user);
return Result.ok();
创建用户 接口
private User createUserWithPhone(String phone)
User user = new User();
user.setPhone(phone);
// 默认用户名 user 前缀 + 随机字符串
user.setNickName(USER_NICK_NAME_PREFIX + RandomUtil.randomString(6));
// 保存用户
save(user);
return user;
2.2 实现登录拦截功能
tomcat的运行原理:
可以得知:
ThreadLocaL 线程隔离
关于threadlocal:
拦截器代码
public class LoginInterceptor implements HandlerInterceptor
// 前置拦截
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception
//1.获取session
HttpSession session = request.getSession();
//2.获取session中的用户
Object user = session.getAttribute("user");
//3.判断用户是否存在
if(user == null)
//4.不存在,拦截,返回401状态码
response.setStatus(401);
return false;
//5.存在,保存用户信息到Threadlocal
UserHolder.saveUser((User)user);
//6.放行
return true;
// 后置拦截
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception
// 移除用户
UserHolder.removeUser();
让拦截器生效
@Configuration
public class MvcConfig implements WebMvcConfigurer
@Resource
private StringRedisTemplate stringRedisTemplate;
@Override
public void addInterceptors(InterceptorRegistry registry)
// 登录拦截器
registry.addInterceptor(new LoginInterceptor())
.excludePathPatterns(
"/shop/**",
"/voucher/**",
"/shop-type/**",
"/upload/**",
"/blog/hot",
"/user/code",
"/user/login"
).order(1);
// token刷新的拦截器
registry.addInterceptor(new RefreshTokenInterceptor(stringRedisTemplate)).addPathPatterns("/**").order(0);
2.3 隐藏用户敏感信息
在登录方法处修改
//7.保存用户信息到session中
session.setAttribute("user", BeanUtils.copyProperties(user,UserDTO.class));
在拦截器处:
//5.存在,保存用户信息到Threadlocal
UserHolder.saveUser((UserDTO) user);
在UserHolder处:将user对象换成UserDTO
public class UserHolder
private static final ThreadLocal<UserDTO> tl = new ThreadLocal<>();
public static void saveUser(UserDTO user)
tl.set(user);
public static UserDTO getUser()
return tl.get();
public static void removeUser()
tl.remove();
2.4 集群的session共享问题
核心思路分析:
早期的方案是session拷贝,就是说虽然每个tomcat上都有不同的session,但是每当任意一台服务器的session修改时,都会同步给其他的Tomcat服务器的session,这样的话,就可以实现session的共享了
但是这种方案具有两个大问题
3、Redis代替session的业务流程
① 设计key的结构
首先思考一下利用redis来存储数据,那么到底使用哪种结构呢?
② 设计key的具体细节
所以使用String结构,就是一个简单的key,value键值对的方式,但是关于key的处理,session他是每个用户都有自己的session,但是redis的key是共享的,咱们就不能使用code了
在设计key的时候,需要满足两点:
如果我们采用phone:
③ 整体访问流程
4、基于Redis实现短信登录
@Override
public Result sendCode(String phone, HttpSession session)
// 1. 校验手机号 正则表达式
if (RegexUtils.isPhoneInvalid(phone))
// 2. 不符合, 滚
return Result.fail("手机号格式错误");
// 3. 符合, 生成 验证码
String code = RandomUtil.randomNumbers(6);
// 4. 保存验证码 到 Redis 有效期 2 分钟
stringRedisTemplate.opsForValue().set(LOGIN_CODE_KEY + phone, code, LOGIN_CODE_TTL, TimeUnit.MINUTES);
// 5. 发送验证码
log.debug("发送短信验证码成功,验证码: " + code );
return Result.ok();
实现登录:
@Override
public Result login(LoginFormDTO loginForm, HttpSession session)
// 1.校验手机号
String phone = loginForm.getPhone();
if (RegexUtils.isPhoneInvalid(phone))
// 2.如果不符合,返回错误信息
return Result.fail("手机号格式错误!");
// 3.从redis获取验证码并校验
String cacheCode = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY + phone);
String code = loginForm.getCode();
if (cacheCode == null || !cacheCode.equals(code))
// 不一致,报错
return Result.fail("验证码错误");
// 4.一致,根据手机号查询用户 select * from tb_user where phone = ?
User user = query().eq("phone", phone).one();
// 5.判断用户是否存在
if (user == null)
// 6.不存在,创建新用户并保存
user = createUserWithPhone(phone);
// 7.保存用户信息到 redis中
// 7.1.随机生成token,作为登录令牌
String token = UUID.randomUUID().toString(true);
// 7.2.将User对象转为HashMap存储
UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
Map<String, Object> userMap = BeanUtil.beanToMap(userDTO, new HashMap<>(),
CopyOptions.create()
.setIgnoreNullValue(true)
.setFieldValueEditor((fieldName, fieldValue) -> fieldValue.toString()));
// 7.3.存储
String tokenKey = LOGIN_USER_KEY + token;
stringRedisTemplate.opsForHash().putAll(tokenKey, userMap);
// 7.4.设置token有效期
stringRedisTemplate.expire(tokenKey, LOGIN_USER_TTL, TimeUnit.MINUTES);
// 8.返回token
return Result.ok(token);
解决状态登录刷新问题
① 初始方案思路总结:
② 优化方案
③代码
public class RefreshTokenInterceptor implements HandlerInterceptor
private StringRedisTemplate stringRedisTemplate;
public RefreshTokenInterceptor(StringRedisTemplate stringRedisTemplate)
this.stringRedisTemplate = stringRedisTemplate;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception
// 1.获取请求头中的token
String token = request.getHeader("authorization");
if (StrUtil.isBlank(token))
return true;
// 2.基于TOKEN获取redis中的用户
String key = LOGIN_USER_KEY + token;
Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(key);
// 3.判断用户是否存在
if (userMap.isEmpty())
return true;
// 5.将查询到的hash数据转为UserDTO
UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);
// 6.存在,保存用户信息到 ThreadLocal
UserHolder.saveUser(userDTO);
// 7.刷新token有效期
stringRedisTemplate.expire(key, LOGIN_USER_TTL, TimeUnit.MINUTES);
// 8.放行
return true;
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception
// 移除用户
UserHolder.removeUser();
public class LoginInterceptor implements HandlerInterceptor
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception
// 1.判断是否需要拦截(ThreadLocal中是否有用户)
if (UserHolder.getUser() == null)
// 没有,需要拦截,设置状态码
response.setStatus(401);
// 拦截
return false;
// 有用户,则放行
return true;
以上是关于基于SessionRedis 短信登录功能实现,解决Session共享,登录状态刷新问题及Threadlocal线程隔离的主要内容,如果未能解决你的问题,请参考以下文章
RedisRedis 的共享 session 应用(短信登录)
RedisRedis 的共享 session 应用(短信登录)
RedisRedis 的共享 session 应用(短信登录)
SpringBoot入门到精通-基于阿里云短信服务-定义Starter封装通用组件