分布式电商项目(单体架构->分布式架构)
前后端的代码都在GitHub上,https://github.com/xiguanlezz/E-Commerce2
基于CAS的登录中心(跨域名单点登录)+Redis+Tomcat集群(修改SpringBoot的配置文件中的端口模拟)+JWT生成token+基于Redis的分布式锁
一、JWT解析
1、认证流程
首先,前端通过表单发送一个POST请求将用户名和密码发到后端(一般是HTTP+SSL),后端去数据库中核对信息,核对成功则将用户的某些信息当作载荷即JWT Payload,经这个载荷和头部分别进行Base64编码拼接后生成签名,形成一个形如header.payload.signature的JWT(token)。
后端将JWT字符串作为登录成功的结果返回给前端。前端可以将返回的结果保存在localStorage或sessionStorage上,前端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决XSS和XSRF问题,可通过请求拦截器实现) ,当用户退出登录时前端删除保存的JWT即可。此外,后端还可以检查JWT的有效性(检查签名是否正确、检查token是否过期、检查token的接收方是否是自己等)。
2、JWT结构
- Header:令牌的类型(即JWT)和所使用的签名算法(非对称加密),例如HMAC、SHA256或RSA。它会使用Base64编码组成JWT结构的第一部分。
{
"alg": "HS256",
"typ": "JWT"
}
- Payload:包含有关实体(通常是用户)和其他数据的声明。它会使用Base64编码组成JWT结构的第二部分。
{
"username": "admin",
"role": "1"
}
- Signature:使用编码后的Header和Payload以及我们提供的一个密钥,然后使用Header中指定的签名算法(非对称加密)进行签名。签名的作用是保证JWT没有被篡改过,还能保证生成签名的服务器是安全的(使用私钥加密,公钥解密)。
SHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret);
3、JWT的好处
① 输出是三个点分隔的Base64-URL字符串,可以在HTML和HTTP环境中轻松传递这些字符串。
② 可以通过URL、POST参数或者在HTTP Header中发送,数据量小,传输速度快。
③ 负载中包含了所有用户所需要的信息,避免了多次查询数据库。
注意:Base64只是一种编码,它是可以被翻译回原来的样子来的,并不是一种加密过程。因此不应该在负载里面加入任何敏感的数据。
4、工具类
public class JWTUtil {
private final static String secretKey = "23223232"; //私钥
private final static long expireTime = 1000 * 60 * 30; //设置token的过期时间为30分钟
public static String getToken(User user) {
JWTCreator.Builder builder = JWT.create();
assert user != null;
builder.withClaim("id", user.getId());
builder.withClaim("username", user.getUsername());
builder.withClaim("email", user.getEmail());
builder.withClaim("phone", user.getPhone());
builder.withClaim("role", user.getRole());
long nowTimeMillis = System.currentTimeMillis();
if (expireTime > 0) {
nowTimeMillis += expireTime;
}
String token = builder
.withExpiresAt(new Date(nowTimeMillis))
.sign(Algorithm.HMAC256(secretKey));
return token;
}
public static void verify(String token) {
JWT.require(Algorithm.HMAC256(secretKey)).build().verify(token);
}
public static String getPayload(String token) {
DecodedJWT verify = JWT.require(Algorithm.HMAC256(secretKey)).build().verify(token);
assert verify != null;
String payload = verify.getPayload();
return payload;
}
}
二、基于CAS的单点登录
1、原理图
2、实现代码(不是很妙,用了模板引擎—使用MVVM架构可能正常点)
登录拦截器(实现了两种方式,一种是session,另一种是token):
@Order(1)
public class LoginInterceptor implements HandlerInterceptor {
@Autowired
private StringRedisTemplate stringRedisTemplate;
@Override
public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object handler) throws Exception {
String requestURL = httpServletRequest.getRequestURL().toString();
String loginToken = CookieUtil.readLoginToken(httpServletRequest);
if (StringUtils.isBlank(loginToken)) {
//判断是否是cas之后的请求即请求中是否带有ticket
String ticket = httpServletRequest.getParameter("ticket");
if (StringUtils.isNotBlank(ticket)) {
//使用token的方式----------------start---------------------
// JWTUtil.verify(ticket);
//使用token的方式----------------end---------------------
//使用session的方式----------------start---------------------
String userJson = stringRedisTemplate.opsForValue().get(ticket);
User user = JsonUtil.jsonToObject(userJson, User.class);
if (user != null) {
CookieUtil.writeLoginToken(httpServletResponse, ticket);
//写完cookie后原地跳转登录请求
httpServletResponse.sendRedirect(PropertiesUtil.getProperty("login.url", "http://www.mmall.com:8080/user/login.do"));
return false;
}
//使用session的方式----------------end---------------------
}
} else {
//判断cookie信息是否有效
//使用token的方式----------------start---------------------
// JWTUtil.verify(loginToken);
//使用token的方式----------------end---------------------
//使用session的方式----------------start---------------------
String userJson = stringRedisTemplate.opsForValue().get(loginToken);
User user = JsonUtil.jsonToObject(userJson, User.class);
if (user != null) {
//MVVM架构中都是前端路由, 后端只负责提供数据
httpServletResponse.sendRedirect(PropertiesUtil.getProperty("index.url", "http://www.mmall.com"));
return false;
}
//使用session的方式----------------end---------------------
}
if (requestURL.contains("login")) {
httpServletResponse.reset(); //这里要添加reset,否则会报异常
httpServletResponse.setCharacterEncoding("UTF-8"); //这里要设置编码, 否则会乱码
String loginCenterURL = PropertiesUtil.getProperty("login.center.url", "http://login.mmall.com:8888/check");
httpServletResponse.sendRedirect(loginCenterURL + "?originalURL=" + PropertiesUtil.getProperty("login.url", "http://www.mmall.com:8080/user/login.do"));
}
return false;
}
}
登录中心的校验拦截器:
public class CheckInterceptor implements HandlerInterceptor {
@Autowired
private StringRedisTemplate stringRedisTemplate;
@Autowired
private ObjectMapper objectMapper;
@Override
public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object handler) throws Exception {
String originalURL = httpServletRequest.getParameter("originalURL");
String loginToken = CookieUtil.readLoginToken(httpServletRequest);
if (StringUtils.isNotBlank(loginToken)) {
//使用token的方式----------------start---------------------
// JWTUtil.verify(loginToken);
//使用token的方式----------------end---------------------
//使用session的方式----------------start---------------------
String userJson = stringRedisTemplate.opsForValue().get(loginToken);
User user = objectMapper.readValue(userJson, User.class);
assert StringUtils.isNotBlank(originalURL);
if (user != null) {
httpServletResponse.reset(); //这里要添加reset,否则会报异常
httpServletResponse.setCharacterEncoding("UTF-8"); //这里要设置编码, 否则会乱码
httpServletResponse.sendRedirect(originalURL);
return false;
}
//使用session的方式----------------end---------------------
}
return true;
}
}
三、基于Redis的原生分布式锁
1、Cron表达式
秒 分 时 日 月 周 年(可选)
| 字段 | 允许值 | 允许的特殊字符 |
| 秒(Seconds) | 0~59的整数 | , - * / 四个字符 |
| 分(Minutes) | 0~59的整数 | , - * / 四个字符 |
| 小时(Hours) | 0~23的整数 | , - * / 四个字符 |
| 日期(DayofMonth) | 1~31的整数(但是你需要考虑你月的天数) | ,- * ? / L W C 八个字符 |
| 月份(Month) | 1~12的整数或者 JAN-DEC | , - * / 四个字符 |
| 星期(DayofWeek) | 1~7的整数或者 SUN-SAT (1=SUN) | , - * ? / L C # 八个字符 |
| 年(可选,留空)(Year) | 1970~2099 | , - * / 四个字符 |
2、思想及实现
将到期的时间戳作为存入Redis的value值,setex这一原子操作可以实现分布式锁,但是如果实现的时候没有在原子操作上面加上过期时间的话,这会产生死锁问题,此时需要使用双重检查锁的思想,从Redis中根据key取出相应的value,根据现在的时间戳和value值的关系来决定是否可以获得分布式锁。
@Component
public class CloseOrderTask {
@Autowired
private IOrderService iOrderService;
@Autowired
private StringRedisTemplate stringRedisTemplate;
@Scheduled(cron = "0 */1 * * * ?")
public void closeOrderTaskV2() {
log.info("关闭订单定时任务启动");
long lockTimeout = Long.parseLong(PropertiesUtil.getProperty("lock.timeout", "5000"));
Boolean flag = stringRedisTemplate.opsForValue()
.setIfAbsent(Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK, //key
String.valueOf(System.currentTimeMillis() + lockTimeout)); //过期的时间戳作为value
if (BooleanUtils.isTrue(flag)) {
log.info("{}获取到了分布式锁: {}", Thread.currentThread().getName(), Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK);
iOrderService.closeOrder(Integer.parseInt(PropertiesUtil.getProperty("close.order.task.time.hour", "2")));
} else {
//这里需要用双重检测锁防分布式锁产生死锁
String formerLockValueStr = stringRedisTemplate.opsForValue().get(Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK);
assert formerLockValueStr != null;
long formerLockValue = Long.parseLong(formerLockValueStr);
if (System.currentTimeMillis() > formerLockValue) {
//说明之前的锁已经过期, 可重新获得锁
String latterLockValueStr = stringRedisTemplate.opsForValue()
.getAndSet(Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK,
String.valueOf(System.currentTimeMillis() + lockTimeout));
if (latterLockValueStr == null //调用getAndSet函数的时候锁已经过期, 并且被删除了
|| StringUtils.equals(formerLockValueStr, latterLockValueStr)) {
//相等表明确实是这个tomcat进程获取到了分布式锁
log.info("{}获取到了分布式锁: {}", Thread.currentThread().getName(), Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK);
iOrderService.closeOrder(Integer.parseInt(PropertiesUtil.getProperty("close.order.task.time.hour", "2")));
} else {
log.info("没有获取到分布式锁: {}", Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK);
}
} else {
log.info("没有获取到分布式锁: {}", Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK);
}
}
log.info("关闭订单定时任务关闭");
}
}