🍖 前言
🍕 背景:
这几天在做一个小项目,没有数据权限、菜单权限,所以呢就决定不使用权限验证框架了。登录呢,就直接用redis存储登录的用户信息就行了。
🍔 实现及存在问题:
一开始的实现思路大概就是:调用登录接口,校验用户名和密码是否正确,如果正确的话,直接生成一个随机字符串作为token,返回会给前端,同时用这个token作为redis中的key,value则存储的是当前登录的用户信息。然后在拦截器中,直接根据请求头中携带的token去redis找这个key,存在则放行,不存在则提示用户未登录。
存在问题:我以为这样是没有问题的,结果后面去redis一看,十几个key,点开一看全是同一个用户的,我直接好家伙🤣。
🍟 解决思路:
一个用户同时不能有多个token,它们是一对一的关系。目前想到了两种解决方式。
🌭 方式一:
以用户名作为redis的key,用户信息作为value(用户信息里面有token),在登录的时候,用户名密码验证通过,不用做其他处理,直接存就行。然后在拦截器中,需要遍历全部的redis中全部的用户名key,拿到它们的token去和请求头里的token进行匹配,能匹配到说明用户登录还没过期,则放行;没有匹配到说明token(登录)失效了,需要重新登录,则提示用户未登录。
🍿 方式二:
用户名和token分别为key:用户名key的value是用户信息(用户信息里面有token);token key的value是用户名。
登录时用户名密码验证通过后,先根据要登录的用户名去redis查找这个key是否存在,存在说明已经登录了,在已登录的信息里面找到token,把旧的用户名和token都给删除掉,然后再保存新的登录信息到redis中(随机生成一个新的token,设置到用户信息中,然后redis分别以用户名和新token作为key,存储登录信息)。
拦截器中:
请求头的token在redis中存在
获取对应的用户名,判断这个用户名是否存在,存在则放行;不存在则提示用户未登录,同时把redis中的这个token给删掉。
请求头的token在redis中不存在
提示用户未登录。
🍞 代码实现
🌭 方式一:
主要的逻辑在拦截器里:
public class LoginInterceptor implements HandlerInterceptor {
private boolean result(HttpServletResponse response) throws IOException {
ResultVo resultVo = new ResultVo();
resultVo.setCode(1003);
resultVo.setMessage("用户未登录,请进行登录");
response.getWriter().write(JSONUtil.toJsonStr(resultVo));
return false;
}
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)throws Exception {
response.setHeader("Access-Control-Allow-Origin", (request).getHeader("Origin"));
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json");
String token = request.getHeader(BaseConstant.tokenHeader);
RedisUtil redisUtil= SpringUtil.getBean(RedisUtil.class);
SysUser sysUser = null;
Set set = redisUtil.allKey(BaseConstant.cachePrefix + "*");
for (Object o : set) {
Object o1 = redisUtil.get(o.toString());
if (o1 instanceof SysUser){
SysUser user = (SysUser) o1;
if (token.equals(user.getToken())){
sysUser = user;
break;
}
}
}
if (Objects.isNull(sysUser)){
return result(response);
}
long expire = redisUtil.getExpire(BaseConstant.cachePrefix + sysUser.getUserName());
if (expire != -1){
redisUtil.set(BaseConstant.cachePrefix+sysUser.getUserName(),sysUser,1800);
}
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
}
}
RedisUtil 就不写全了,可以去网上找一大把,或者点我以前的文章都有的,在这里补充一个方法,就是获取某个文件夹下的所有的key,也就是拦截器里面用到的缓存前缀,这个可以自定义,我的缓存前缀格式是:**项目名称-token:login:** ,这里后面拼接的就是用户名了。比如:**项目名称-token:login:admin**
@Component
public class RedisUtil {
@Resource
private RedisTemplate redisTemplate;
public <T> Set<T> allKey(Object obj){
return redisTemplate.keys(obj);
}
}
登录controller
@RestController
@RequestMapping("/sys/login")
public class SysLoginController {
@PostMapping("/webLogin")
public ResultVo webLogin(String userName, String password, HttpServletRequest request){
try {
SysUser user = check(userName, password);
String token = IdUtil.generateToken(32);
user.setToken(token);
redisUtil.set(BaseConstant.cachePrefix+userName,user,1800);
return ResultUtil.success(token);
} catch (ExceptionVo e) {
return ResultUtil.error(e.getCode(),e.getMessage());
}catch (Exception e) {
e.printStackTrace();
return ResultUtil.error(BaseConstant.UNKNOWN_EXCEPTION);
}
}
}
public class IdUtil {
public static String generateToken(int length) {
String str = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
Random random = new Random();
StringBuffer sb = new StringBuffer();
for(int i = 0; i < length; ++i) {
int number = random.nextInt(62);
sb.append(str.charAt(number));
}
return sb.toString();
}
}
🍿 方式二:
拦截器:
public class LoginInterceptor implements HandlerInterceptor {
private boolean result(HttpServletResponse response) throws IOException {
ResultVo resultVo = new ResultVo();
resultVo.setCode(1003);
resultVo.setMessage("用户未登录,请进行登录");
response.getWriter().write(JSONUtil.toJsonStr(resultVo));
return false;
}
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)throws Exception {
response.setHeader("Access-Control-Allow-Origin", (request).getHeader("Origin"));
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json");
String token = request.getHeader(BaseConstant.tokenHeader);
RedisUtil redisUtil= SpringUtil.getBean(RedisUtil.class);
String userName = "";
if (StrUtil.isEmpty(token) || Objects.isNull(redisUtil.get(BaseConstant.cachePrefix+token))){
return result(response);
}else if (Objects.nonNull(redisUtil.get(BaseConstant.cachePrefix+token))){
userName = redisUtil.get(BaseConstant.cachePrefix + token).toString();
if (Objects.isNull(redisUtil.get(BaseConstant.cachePrefix+userName))){
redisUtil.del(BaseConstant.cachePrefix+token);
return result(response);
}
}
long expire = redisUtil.getExpire(BaseConstant.cachePrefix + userName);
if (expire != -1){
SysUser user = (SysUser) redisUtil.get(BaseConstant.cachePrefix+userName);
redisUtil.set(BaseConstant.cachePrefix+userName,user,1800);
redisUtil.set(BaseConstant.cachePrefix+token,userName,2100);
}
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
}
}
登录controller
@RestController
@RequestMapping("/sys/login")
public class SysLoginController {
@PostMapping("/webLogin")
public ResultVo webLogin(String userName, String password, HttpServletRequest request){
try {
SysUser user = check(userName, password);
if (redisUtil.hasKey(BaseConstant.cachePrefix+userName)) {
SysUser u = (SysUser) redisUtil.get(BaseConstant.cachePrefix + userName);
redisUtil.del(BaseConstant.cachePrefix + u.getToken());
redisUtil.del(BaseConstant.cachePrefix + userName);
}
String token = IdUtil.generateToken(32);
user.setToken(token);
redisUtil.set(BaseConstant.cachePrefix+userName,user,1800);
redisUtil.set(BaseConstant.cachePrefix+token,userName,2100);
return ResultUtil.success(token);
} catch (ExceptionVo e) {
return ResultUtil.error(e.getCode(),e.getMessage());
}catch (Exception e) {
e.printStackTrace();
return ResultUtil.error(BaseConstant.UNKNOWN_EXCEPTION);
}
}
}
🧀 最后
以上两种方法,自行选择,我自己后面选择的是第二种方式。说起第一种方式,我记得好像 shiro 里防止用户重复登录也是要自己处理的,然后我用的时候,大概也是在缓存中获取所有session,然后遍历匹配当前登录用户,如果能匹配到就删除上一次的登录信息。不过那个是在登录的时候处理的。
像第一种方式,因为是以用户名为key存储的,不能直接用token取值,所以我只能想到遍历所有用户名key去匹配🤣不然的话难道要在请求头中设置除了携带token外,把用户名也带上吗?这不太合理吧?😂因为每次请求都要遍历redis中的所有用户名,感觉不太行,所以我采取的是第二种方式。
|