微服务下的登录实现及相关问题解决

Posted darling2047

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了微服务下的登录实现及相关问题解决相关的知识,希望对你有一定的参考价值。

  最近由于工作需要,需要开发一个登录的微服务;由于前期在网上找session共享的实现方案遇到各种问题,所以现在回过头来记录下整个功能的实现和其中遇到的问题;总结一下主要有以下几点:

  1、登录实现(整合redis以及用户信息的共享问题)

  2、登录拦截器的实现及拦截后成功跳转(这里踩了一个大坑)

  3、登录过期时间随用户的操作而跟新(即当用户操作时间大于设置的登录时间时不要让用户推出登录)

  4、非扫描类如何使用@autowired成功注入

  5、Springboot的全局异常捕获(初衷是为了解决2的跳转问题,最后兜了一大圈)

  下面对上面提到的几点进行详细记录;

一、登录实现(整合redis以及用户信息的共享问题)

  这是整个功能的核心所在,由于我们有多个服务所以首要解决的就是session共享的问题,解决这个问题主要是通过redis来实现的,我把登录成功后对session的操作全部换为对redis的操作,以userId为key,然后将userId返回给前台,在前台需要写一个common.js来重写ajax请求,使得每次访问后台的请求都自动带上userId,这样再写一个拦截器登录整个登录功能差不多就实现了;

二、登录拦截器的实现及拦截后成功跳转

  首先需要写一个拦截器的配置类,主要就是将我们自定义的拦截器注册到项目中以及白名单的添加;下面是注册拦截器的代码:

@Configuration
public class LoginInterceptorConfig extends WebMvcConfigurerAdapter {
@Override
public void addInterceptors(InterceptorRegistry registry) {
/**
* LoginInterceptor是自定义的拦截器
* addPathPatterns参数/**是通配符表示拦截所有的请求
* excludePathPatterns方法的参数是可变参数,可以输n个字符串类型的参数,用来添加白名单
*/
registry.addInterceptor(new LoginInterceptor()).addPathPatterns("/**").excludePathPatterns("/login/doLogin");
}
}

  然后贴上我登录拦截器(LoginInterceptor)里的代码:

package com.huayun.base.interceptors;

import com.huayun.base.entity.UserBean;
import com.huayun.base.exception.BaseErrorCode;
import com.huayun.base.exception.BaseException;
import com.huayun.base.util.RedisUtil;
import net.sf.json.JSONObject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import redis.clients.jedis.Jedis;

import javax.annotation.PostConstruct;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;

/**
 * 登陆拦截器
 *  主要判断请求中有没有token以及token有没有过期
 */
@Component
public class LoginInterceptor extends HandlerInterceptorAdapter {

//    @Autowired
//    private RedisClusterUtil redisUtil;


    public static LoginInterceptor interceptor;

    @PostConstruct
    public void init(){
        interceptor = this;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Object token = request.getParameter("token");
        String userId = request.getParameter("userId");
        String url = request.getRequestURI();
        if(isWhiteMenu(url)){   //   /login/logout
            return true;
        }
        if(token == null || userId == null) {
            JSONObject json = new JSONObject();
            json.put("code","10005");
            json.put("msg","登陆验证失败,请重新登陆!");
            response.setHeader("Access-Control-Allow-Origin","*");
            response.setContentType("application/json;charset=utf-8");
            response.setStatus(200);
            response.getWriter().write(json.toString());
            return false;
//            throw new BaseException("登陆验证失败,请重新登陆",
//                    BaseErrorCode.VALIDATOR_ERROR);
        }
//        UserBean user = null;
        try {
            // 获取key过期时间
            Long expireTime = RedisUtil.getExpire(userId);
            if(expireTime < 0) { // key不存在则登录超时
                JSONObject json = new JSONObject();
                json.put("code","10005");
                json.put("msg","登陆超时,请重新登陆!");
                response.setHeader("Access-Control-Allow-Origin","*");
                response.setContentType("application/json;charset=utf-8");
                response.setStatus(200);
                response.getWriter().write(json.toString());
                return false;
            }
            if(expireTime < 60*5) {// 如果过期时间小于5分钟秒则重置过期时间
                RedisUtil.expire(userId,30*60);
            }
//            user = (UserBean)RedisUtil.get(userId);// redis单机
//            user = (UserBean) RedisClusterUtil.getObject(userId.toString());//redis哨兵
        }catch (Exception ex) {
//            return true;//ruturn true 是为了当redis连接出问题时程序能正常运行,但没有进行登陆过期的判断
            ex.printStackTrace();
            throw new BaseException("Redis连接异常",
                    BaseErrorCode.VALIDATOR_ERROR);
        }
//        if(user == null) {
//            JSONObject json = new JSONObject();
//            json.put("code","10005");
//            json.put("msg","登陆超时,请重新登陆!");
//            response.setHeader("Access-Control-Allow-Origin","*");
//            response.setContentType("application/json;charset=utf-8");
//            response.setStatus(200);
//            response.getWriter().write(json.toString());
//            return false;
////            throw new BaseException("登陆超时,请重新登陆",
////                    BaseErrorCode.VALIDATOR_ERROR);
//        }
        return true;
    }

    /**
     * 判断是否白名单
     * @param url
     * @return
     */
    private boolean isWhiteMenu(String url) {
        if(url.contains("removeLoginParam") || url.contains("setLoginParam") ||
                url.contains("getYwzAndBdz") || url.contains("getYwzAndBdzInfo")
                || url.contains("searchStation") || url.contains("swagger-resources")
                || url.contains("configuration/ui") || url.contains("v2/api-docs")){
            return true;
        }else{
            return false;
        }

    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

 

  这其中拦截成功的跳转登录页我踩了一个大坑,起初很天真的想直接用跳转和转发,稍微想下也知道是不可能实现的,因为这完全是跨域的,百度说在response里添加Access-Control-Allow-Origin就可以了,但仅仅添加这个响应头也是不行的,因为我们是前后端分离的;这其中一个大神给的意见是让我自定义一个异常,拦截成功后直接抛异常然后进行捕获统一处理,他自己曾经就这样试过,然后我就屁颠屁颠的把他的代码拿来改了,最后的确是成功跳转了,但后来回看代码其实成功的关键并不在于异常的捕获然后捕获成功后的处理;也就是说我不捕获异常直接在拦截器里写也是可以成功跳转的;

  关键是跳转的这段逻辑,由于跨域、前后端分离等原因从后台直接跳转实现不了,所以换个思路,不直接跳转,而是给拦截到的请求进行自定义响应,让ajax的success回调能捕获到我们返回的登录被拦截的信息最后从前端跳登录页;关键代码如下:

          JSONObject json = new JSONObject();
                json.put("code","10005");
                json.put("msg","登陆超时,请重新登陆!");
                response.setHeader("Access-Control-Allow-Origin","*");
                response.setContentType("application/json;charset=utf-8");
                response.setStatus(200);
                response.getWriter().write(json.toString());

   标红的缺一不可,其实起初我也想到了这个实现方法,但是不论怎么写ajax的回调捕获到的响应信息都是空,最后发现我们可以自定义请求的http响应码response.setStatus(200);

   至此,登录拦截器也基本实现了,接下来说说一些小细节

三、登录过期时间随用户的操作而跟新

  这个bug是给领导演示的时候发现的,我默认redis的key过期时间为30分钟,那天演示的时候领导一直在操作页面结果三十分钟到了,果断跳到登录页了,这下领导不满意了,你这个怎么这样呀,不能实时获取用户的操作状态吗?这样用户体验太差了;我表面点头称是其实心里在想哪个用户像你这样一点点半个小时的呀,哈哈;话虽这么说bug还是要改掉的;想到的第一个解决方案就是写监听器监听session的状态,只要监听到用户在操作就跟新过期时间,先不说这样平白无故添加了n次redis的操作,就连监听器我都实现不了;因为我们是多个服务session没有实现真正意义上的共享.无法有效监听;所以后来想到了一个超级简单的方法,就是在拦截器里获取过期时间的同时添加一个判断,当有效时间小于五分钟时重新更新有效时间,这样就不会新增无畏的redis操作了。关键代码如下:

       // 获取key过期时间
            Long expireTime = RedisUtil.getExpire(userId);
            if(expireTime < 0) { // key不存在则登录超时
                JSONObject json = new JSONObject();
                json.put("code","10005");
                json.put("msg","登陆超时,请重新登陆!");
                response.setHeader("Access-Control-Allow-Origin","*");
                response.setContentType("application/json;charset=utf-8");
                response.setStatus(200);
                response.getWriter().write(json.toString());
                return false;
            }
            if(expireTime < 60*5) {// 如果过期时间小于5分钟秒则重置过期时间
                RedisUtil.expire(userId,30*60);
            }

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  












以上是关于微服务下的登录实现及相关问题解决的主要内容,如果未能解决你的问题,请参考以下文章

vue实现微信公众号授权登录

解析微服务架构:微服务重构应用及IBM解决方案

解决微服务架构下流量有损问题的实践和探索

微服务的用户认证与授权杂谈

微服务中的服务雪崩及相关解决方案

网络安全:软件定义云计算微服务如何做好新环境下的网络隔离