集群下session共享问题的解决方案.
集群下session共享问题的解决方案.
这一篇博客来讲解下babasport这个项目中使用的Login功能, 当然这里说的只是其中的一些简单的部分, 记录在此 方便以后查阅. 一: 去登录页面 首先我们登录需要注意的事项是, 当用户点击登录按钮时,转入登录页面时也要记住之前用户是从哪个页面发送请求过来的, 这样登录成功后还能继续跳回到用户之前浏览的那个页面. 我们页面展示显示的登录按钮都是集成在一个common的jsp中, 前台每个页面都是引用的这个jsp, 所以需要在这个common的jsp中直接添加点击登录按钮跳转的页面.
这里点击登录按钮后 就会使用window.location.href="http://localhost:8081/login.aspx?returnUrl="+encodeURIComponent(window.location.href);跳转到新的页面, 且这里传入的参数 是浏览器的url, 这个就是为了登录成功后 还能继续跳转到这个页面来. 而encodeURIComponent是 js自带的转义类, 转义的好处是能够在url中带中文重定向后无法接收 且url带多参数解决&被转义而无效的情况. 下图就是跳转到login页面前的window.location.href属性:
二, 处理登录操作 到了登录界面后, 查看登陆界面图, 这里的url参数是经过转义的:
点击登录按钮 会进入到LoginController.java中:
1 //去登录页面
2 @RequestMapping(value="/login.aspx",method=RequestMethod.GET)
3 public String login(){
4 return "login";
5 }
6
7 @Autowired
8 private BuyerService buyerService;
9
10 @Autowired
11 private SessionProviderService sessionProviderService;
12 //执行登录操作
13 @RequestMapping(value="/login.aspx",method=RequestMethod.POST)
14 public String login(String username, String password, String returnUrl,Model model,
15 HttpServletRequest request, HttpServletResponse response){
16 //1: 判断用户名不能为空
17 if(null != username){
18 //2:判断密码不能为空
19 if (null != password){
20 //3:用户名必须正确
21 Buyer buyer = buyerService.selectBuyerByusername(username);
22 if(buyer != null){
23 //4:密码必须正确
24 if(encodePassword(password).equals(buyer.getPassword())){
25 //5:设置用户到Session
26 sessionProviderService.setAttributerForUsername(RequestUtils.getCSessionId(request, response), buyer.getUsername());
27 //6:回跳之前访问页面
28 if(null != returnUrl){
29 return "redirect:"+returnUrl;
30 }else{
31 return "redirect:http://localhost:8082/";
32 }
33 }else {
34 model.addAttribute("error", "密码输入错误!");
35 }
36 }else {
37 model.addAttribute("error", "用户名输入错误!");
38 }
39
40 }else {
41 model.addAttribute("error", "密码不能为空!");
42 }
43 }else {
44 model.addAttribute("error", "用户名不能为空!");
45 }
46
47
48 return "login";
49 }
50
51 //加密
52 public String encodePassword(String password){
53
54 String algorithm = "MD5";
55 char[] encodeHex = null;
56 //MD5
57 try {
58 MessageDigest instance = MessageDigest.getInstance(algorithm);
59 byte[] digest = instance.digest(password.getBytes());
60
61 //十六进制, 在MD5加密的基础上再次加密
62 encodeHex = Hex.encodeHex(digest);
63 } catch (NoSuchAlgorithmException e) {
64 // TODO Auto-generated catch block
65 e.printStackTrace();
66 }
67
68 return new String(encodeHex);
69 }这里使用了MD5加密, 经过MD5加密后在使用十六进制进行加密. 如果登陆成功, 调用sessionProviderService.setAttributerForUsername(RequestUtils.getCSessionId(request, response), buyer.getUsername()); SessionProviderImpl.java:
1 //session存活时间, 单位是分钟.
2 private Integer exp = 30;
3 public void setExp(Integer exp) {
4 this.exp = exp;
5 }
6
7
8 @Autowired
9 private Jedis jedis;
10 //保存用户到redis中 注册: 保存用户到mysql的同时保存用户名作为Key 用户Id当做value 到redis中
11 //jessionId value==用户名
12 public void setAttributerForUsername(String jessionId, String value){
13 jedis.set(jessionId + ":USER_NAME", value);
14 jedis.expire(jessionId + ":USER_NAME", 60*exp);
15 }将username信息保存到Redis中, key是CSessionId:USER_NAME, value是username.
三: 验证用户是否登录 首先看下没有Login的时候最原始的页面:
那么显然这里就不对了, 如果没有登录, 那么就只应该显示[登录]和[免费注册], 后面的[退出]和[我的订单]就不应该显示的, 那么怎么来验证是否登录呢? 这里头部显示的内容全都是引用的同一个common的jsp文件, 首先在页面加载的时候我们应该判断用户是否登录: 如果这里我们直接使用ajax异步去调用获取用户是否已经登录, 这里dataType暂时使用json(jsonp是为了解决跨域问题)
如果我们代码中也是这样改动的, 那么会发生什么事情呢?
这里提示不能够跨域访问? 那么该怎么去做呢? 上面的截图已经给出了, 我们传递的dataType类型是jsonp, 就意味着我们这个ajax请求时跨域请求.
这里又引出一个新问题, 关于多服务器的问题, 如果用户登录时所处的服务器是Tomcat1, 那么登录后当用户再次访问页面时同样会做登录验证, 这个时候如果是Tomcat2呢? 所以这里就引出了抛弃使用jesseionId的想法,具体的解决方法如图:
我们自己创建一个CsessionId, 当用户第一次访问时, CsessionId为空, 那么 在Tomcat1总创建一个CsessionId, 并且将此CsessionId保存到Redis服务器中, 且返回给浏览器. 当用户第二次访问, 且由Tomcat2 负责处理时, Tomcat2 通过CsessionId去Redis服务器中查找已存在, 然后就知道了此用户已经登录. 下面就看看对于这个CsessionId是如何操作的: 跨域请求后, isLogin接收的参数有一个callBack属性, 如果是跨域请求, 那么这个参数就会有值.
1 //是否登录
2 @RequestMapping(value="/isLogin.aspx")
3 public @ResponseBody MappingJacksonValue isLogin(String callback, HttpServletRequest request, HttpServletResponse response) throws IOException{
4 Integer result = 0;
5 //判断用户是否登录
6 String username = sessionProviderService.getAttributterForUsername(RequestUtils.getCSessionId(request, response));
7 if (null != username) {
8 result = 1;
9 }
10
11 //返回<script> 类, 这个类支持跨域请求
12 MappingJacksonValue mjv = new MappingJacksonValue(result);
13 //设置jsonpFunction
14 mjv.setJsonpFunction(callback);
15 return mjv;
16 }这个地方 是先通过RequestUtils获取CSessionId, 然后再通过CSessionId去获取到对应的username. RequestUtils.java:
1 public class RequestUtils {
2
3 //获取CSessionID
4 public static String getCSessionId(HttpServletRequest request, HttpServletResponse response){ 6 //1, 从Request中取Cookie
7 Cookie[] cookies = request.getCookies();
8 //2, 从Cookie数据中遍历查找, 并取CSessionID
9 if (null != cookies && cookies.length > 0) {
10 for (Cookie cookie : cookies) {
11 if ("CSESSIONID".equals(cookie.getName())) {
12 //有, 直接返回
13 return cookie.getValue();
14 }
15 }
16 }
17 //没有, 创建一个CSessionId, 并且放到Cookie再返回浏览器.返回新的CSessionID
18 String csessionid = UUID.randomUUID().toString().replaceAll("-", "");
19 //并且放到Cookie中
20 Cookie cookie = new Cookie("CSESSIONID", csessionid);
21 //cookie 每次都带来, 设置路径
22 cookie.setPath("/");
23 //0:关闭浏览器 销毁cookie. 0:立即消失. >0 存活时间,秒
24 cookie.setMaxAge(-1);
25
26 return csessionid;
27 }
28 }先查看cookies中是否保存的有CSessionId, 如果没有就新创建一个, 且保存到Cookies中. SessionProviderImpl.java:
1 public class SessionProviderImpl implements SessionProviderService {
2
3 //session存活时间, 单位是分钟.
4 private Integer exp = 30;
5 public void setExp(Integer exp) {
6 this.exp = exp;
7 }
8
9
10 @Autowired
11 private Jedis jedis;
12 //保存用户到redis中 注册: 保存用户到mysql的同时保存用户名作为Key 用户Id当做value 到redis中
13 //jessionId value==用户名
14 public void setAttributerForUsername(String jessionId, String value){
15 jedis.set(jessionId + ":USER_NAME", value);
16 jedis.expire(jessionId + ":USER_NAME", 60*exp);
17 }
18
19
20 //获取
21 public String getAttributterForUsername(String jessionId){
22 String value = jedis.get(jessionId + ":USER_NAME");
23 if(null != value){
24 //计算session过期时间是 用户最后一次请求开始计时.
25 jedis.expire(jessionId + ":USER_NAME", 60*exp);
26 return value;
27 }
28 return null;
29 }
30 }这里的getAttributterForUsername 是通过传递进来的CSessionId 去Redis服务器中查找 相应的结果, 如果已经保存了这个 CSessionId, 那么就返回username. 如果已经登陆, 那么就返回1, 在ajax请求的success中再进行相应的处理. 关于登陆的再来梳理一下: 已经登陆, 校验是否登陆 登陆成功: 会将一个CSessionId保存到Redis中, Redis中设置的这个CSessionId的过期时间为60分钟. CSessionId是保存在Cookies中的, 如果Cookies中没有这个CSessionId则创建一个返回.Cookies中的CSessionId的过期时间也是60分钟. 校验是否登录:通过ajax发送跨域请求, 此时因为已经登陆成功, 所以Cookies中存在这个CSessionId. 然后通过这个CSessionId我们可以在Redis服务器中查出对应的username. 然后Controller将设置一个flag为1, 在ajax中接收到这个flag , 就可以根据判断来做出相应的处理. 关于Login就这么多, 当然这里的权限验证远远不够, 而且这里也省略的注册的内容, 大致需要注意的就是这么多, 其中最 关键的就是CSession的使用, 这个可以解决多服务器直接session的共享.