一.Cookie和Session
HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。
cookie 存储在客户端: cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。
cookie 是不可跨域的: 每个 cookie 都会绑定单一的域名,无法在别的域名下获取使用,一级域名和二级域名之间是允许共享使用的(靠的是 domain)。
cookie 重要的属性属性说明name=value键值对,设置 Cookie 的名称及相对应的值,都必须是字符串类型
session 是另一种记录服务器和客户端会话状态的机制
session 是基于 cookie 实现的,session 存储在服务器端,sessionId 会被存储到客户端的cookie 中
image.png
session 认证流程:
用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的 Session
请求返回时将此 Session 的唯一标识信息 SessionID 返回给浏览器
浏览器接收到服务器返回的 SessionID 信息后,会将此信息存入到 Cookie 中,同时 Cookie 记录此 SessionID 属于哪个域名
当用户第二次访问服务器的时候,请求会自动判断此域名下是否存在 Cookie 信息,如果存在自动将 Cookie 信息也发送给服务端,服务端会从 Cookie 中获取 SessionID,再根据 SessionID 查找对应的 Session 信息,如果没有找到说明用户没有登录或者登录失效,如果找到 Session 证明用户已经登录可执行后面操作。
根据以上流程可知,SessionID 是连接 Cookie 和 Session 的一道桥梁,大部分系统也是根据此原理来验证用户登录状态。
二.单点登陆要解决的问题
项目进行了tomcat集群以及nginx负载均衡。
假设用户登陆时请求的是tomcat1,登陆成功之后,用户的信息存储到session1当中(tomcat1返回的),当用户再次进行请求查看商品时(不会携带session1),请求的到的是tomcat2,tomcat2没有保存session1的数据,所以就会要求重新登陆。所以第一个要解决的就是Session共享问题,使各个tomcat之间可以共享登陆时的那个session。
之所以第二次请求时不会携带session1,是因为:Js或浏览器设置cookie的时候,需要设置了domain、path参数,要在同一个域下面cookie才生效
1.session共享
解决办法:原生Redis+Cookie+Filter解决
首先通过Response写入Cookie一个登陆的“SessionId”,这里是用引号的,它并不是真正意义上Tomcat Servlet原生的SessionId。
写完Cookie之后就要通过Redis把用户登录的Session存储到Redis当中。然后通过"SessionId"来在Redis中做一个映射。
所以整体流程是在登录的时候写Cookie,写Redis,使用的时候读Cookie,读Redis,登出的时候删除Cookie,删除Redis中的session信息。
******************************创建cookie工具类,设置domain、path参数******************************
package com.mall.util;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@Slf4j
public class CookieUtil {
//tomcat8.5之间要写为private final static String COOKIE_DOMAIN=".superzqbo.com";
private final static String COOKIE_DOMAIN="superzqbo.com";
private final static String COOKIE_NAME="mall_login_cookie";
public static void writeLoginToken(HttpServletResponse response,String token){
Cookie ck=new Cookie(COOKIE_NAME,token);
ck.setDomain(COOKIE_DOMAIN);
//代表cookie设置在根目录,所有的代码都可以获取到该cookie
ck.setPath("/");
//-1代表永久,单位是s,如果不设置则只会保存到内存当中,不会保存到硬盘上,只在当前页面有效
ck.setMaxAge(60*60);
ck.setHttpOnly(true);//禁止通过脚本访问cookie
log.info("write cookieName:{},cookieValue:{}",ck.getName(),ck.getValue());
response.addCookie(ck);
}
public static String readLoginToken(HttpServletRequest request){
Cookie [] cookies=request.getCookies();
if(cookies != null){
for (Cookie cookie:cookies){
log.info("read cookieName:{},cookieValue:{}",cookie.getName(),cookie.getValue());
if(StringUtils.equals(cookie.getName(),COOKIE_NAME)){
log.info("return cookieName:{},cookieValue:{}",cookie.getName(),cookie.getValue());
return cookie.getValue();
}
}
}
return null;
}
//返回给浏览器一个cookie的MaxAge为0的cookie,浏览器就会版这个cookie删除掉
public static void delLoginToken(HttpServletRequest request,HttpServletResponse response){
Cookie [] cookies=request.getCookies();
if(cookies != null){
for (Cookie cookie:cookies){
if(StringUtils.equals(cookie.getName(),COOKIE_NAME)){
cookie.setDomain(COOKIE_DOMAIN);
cookie.setPath("/");
//0代表删除此cookie
cookie.setMaxAge(0);
log.info("del cookieName:{},cookieValue:{}",cookie.getName(),cookie.getValue());
response.addCookie(cookie);
return;
}
}
}
}
}
package com.mall.controller.portal;
import com.mall.common.Const;
import com.mall.common.ResponseCode;
import com.mall.common.ServerResponse; import com.mall.pojo.User;
import com.mall.service.IUserService;
import com.mall.util.CookieUtil;
import com.mall.util.JSONUtil;
import com.mall.util.RedisPoolUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
@Controller
@RequestMapping("/user/")
public class UserController {
@Autowired
private IUserService iUserService;
@RequestMapping(value = "login.do",method = RequestMethod.POST)
@ResponseBody
public ServerResponse<User> login(String username, String password, HttpSession session, HttpServletResponse response){
ServerResponse<User> serverResponse=iUserService.login(username, password);
if(serverResponse.isSuccess()){
//session.setAttribute(Const.CURRENT_USER,serverResponse.getData());
CookieUtil.writeLoginToken(response,session.getId());
RedisPoolUtil.setEx(session.getId(), JSONUtil.obj2String(serverResponse.getData()),Const.RedisCacheExtime.REDIS_SESSION_EXTIME);
}
return serverResponse;
}
@ResponseBody
@RequestMapping(value = "logout.do")
public ServerResponse logout(HttpServletRequest request,HttpServletResponse response){
//session.removeAttribute(Const.CURRENT_USER);
String cookieToken=CookieUtil.readLoginToken(request);
RedisPoolUtil.del(cookieToken);
CookieUtil.delLoginToken(request,response);
return ServerResponse.createBySuccess();
}
//获取登陆用户的信息
@ResponseBody
@RequestMapping("get_user_information.do")
public ServerResponse<User> getUserInformation(HttpServletRequest request){
//User user=(User)session.getAttribute(Const.CURRENT_USER);
String cookieToken=CookieUtil.readLoginToken(request);
String userStr=RedisPoolUtil.get(cookieToken);
User user=JSONUtil.string2Obj(userStr,User.class);
if(user==null ||userStr==null || cookieToken==null){
return ServerResponse.createByErrorCodeMsg(ResponseCode.NEED_LOGIN.getCode(),ResponseCode.NEED_LOGIN.getMsg());
}
return ServerResponse.createBySuccess(user);
}
2.解决时间重置问题
Session在和服务器交互的时候有效期会重置,即如果设置的session有效期是30min,当29min时,对服务器进行了再次请求,则会将session重置为30min。
当然我们自己写了一个,代码如下
package com.mall.controller.common;
import com.mall.common.Const;
import com.mall.pojo.User;
import com.mall.util.CookieUtil;
import com.mall.util.JSONUtil;
import com.mall.util.RedisPoolUtil;
import org.apache.commons.lang3.StringUtils;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
public class SessionExpireFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
/**
* 一般设置浏览器当中Cookie的存储时间大于redis当中
* 首先检查浏览器当中cookie是否存在,若存在,查询redis当中cookie对应用户信息是否存在
* 若存在则重置redis当中cookie对应用户信息存储时间
*/
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpServletRequest=(HttpServletRequest) request;
HttpServletResponse httpServletResponse=(HttpServletResponse)response;
String loginToken=CookieUtil.readLoginToken(httpServletRequest);
if(StringUtils.isNotEmpty(loginToken)){
String userStr= RedisPoolUtil.get(loginToken);
User user= JSONUtil.string2Obj(userStr,User.class);
if(user !=null){
//重置session的时间,调用expire命令
RedisPoolUtil.expire(loginToken, Const.RedisCacheExtime.REDIS_SESSION_EXTIME);
}
}
chain.doFilter(request,response);
}
@Override
public void destroy() {
}
}
