Java秒杀系统优化的工程要点

这篇博客是笔者学习慕课网若鱼老师的《Java秒杀系统方案优化 高性能高并发实战》课程的学习笔记。若鱼老师授课循循善诱，讲解由浅入深，欢迎你们支持。

本文记录课程中的注意点，方便之后code review。此外，本文将注意点相关的优质讲解连接在了一块儿，方便初学者系统学习。

本文并不是单纯介绍秒杀系统特有的技术点，不适合高手。进阶学习的话，极客时间有个不错的小专栏——如何设计一个秒杀系统，阿里高级技术专家讲解秒杀系统的设计要点，那个课程挺干货的。

设计秒杀系统的技术要点

1. 登陆的密码传输：

用户的数据库表设计，须要增长一字段保存密码的Salt值

两次MD5操做(敏感数据必定要使用https协议传输)：

• 客户端：将明文password和客户端硬编码的Salt值进行拼接，而后进行MD5操做。

不用盐的话，MD5字符串有可能会被彩虹表或者社工库破解

• 服务端：将客户端传过来的MD5字符串和数据库用户对应的Salt字段进行拼接。而后进行MD5操做。

此次加盐MD5，能够有效防止内部员工泄露或者数据库被拖库后，明文密码泄露

2. 自定义JSR303的校验器

能够参照javax.validation.constraints.NotNull注解，自定义本身的校验器，将校验代码与业务代码分离。不过因为校验失败会输出BindException异常，因此最好配合全局捕获异常进行友好的输出。

自定义校验器很简单，只须要定义一个注解和对应的校验类

3. 自定义全局异常捕获

使用@ControllerAdvice注解，定义全局的异常捕获，并从异常中获取异常信息解析出来，发送给前端
能够自定义一个GlobalException异常，利用全局异常捕获，将全部服务器处理异常集中处理。（Service层处理异常后不设置状态码，而是直接抛GlobalException全局异常）

不返回状态码的好处是Controller层不须要再繁琐的判断Service层的返回值，代码更简洁

4. 数据库表设计

• 经过将订单创建惟一索引来保证用户只能建立一个秒杀订单
• 商品金额最好以分为单位，比较安全
• 商品ID最好不要使用自增，会暴露商品总数等信息。可使用UUID，但范围查找时会有性能损耗。因此通常采用SnowFlake算法生成ID

另外，自增ID的缺点也就是没法在多个表中，或者多个数据库中保持ID主键惟一不重复，因此如果使用分布式数据库以及数据合并的状况下时不能使用自增ID的。

5. 代码规范

• 更新字段越多，产生的数据库Binlog就越多。因此只更新数据库部分字段的时候，最好新建一个对象，只赋值要更新的字段，而后调用mybatis的@Update，这样不作全量更新能够提升性能
• 前端回包使用Result包装类封装，对报错信息使用CodeMsg包装类封装，保持代码风格统一
• Service只注入跟本身同名的dao，若是须要别的dao，请注入对应的Service

Service的api相比dao会多一些防护代码（例如，直接修改了别的模块dao数据，但缓存未清理），更加安全

6. 事务

秒杀有两个事务：

1. 减库存->建立秒杀订单
2. 建立秒杀订单
   秒杀中涉及到上述两个事务，为了保障数据安全，可使用声明式事务（Spring的@Transactional）

PROPAGATION_REQUIRED是Spring默认的传播机制，若是外层有事务，则当前事务加入到外层事务，一块提交，一块回滚。本工程的场景使用默认事务传播机制便可

有关Spring事务传播机制能够查看这篇博客

7. 压测

• 在生产环境中，秒杀系统要独立运行与其余业务系统，实现资源隔离，避免业务系统相互影响稳定性
• 请求入口可使用nginx，LVS，F5等不一样的负载均衡器
• Jmeter 随机生成用户数据，而后使用Jmeter模拟用户压测。压测运行环境最好与被测服务器环境隔离。

接口测试能够还使用Postman和ApacheBench

8. 页面优化技术

• 页面/URL缓存。用于数据变化不频繁的页面或者热点网页。若是数据较多须要分页的数据，相似商品详情数据，通常能够考虑只缓存前两页（根据访问量做取舍）

缓存方法：将渲染好的html文件存放到Redis。在访问Url时，首先检测Redis是否有html缓存。有缓存的话则直接返回缓存；没有缓存的话则渲染后存入Redis，并返回给前端。页面缓存过时时间具体根据业务场景判断。

• 页面局部缓存。热点数据缓存，当Ajax请求信息更新，涉及的多是须要保存在数据库的操做，例如表格信息等时，能够采用Redis缓存，方法同页面缓存同样，定义好能够区分业务的Key便可

• 静态资源优化
  • JS/CSS压缩，减小流量（可经过升级HTTP2来解决）
  • 多个JS/CSS组合，减小链接数（例如：tengine）
  • CDN就近访问

若是须要采用JS/CSS压缩或者减小链接数等方法，能够使用HTTP2来提高性能

• 对象缓存。例如使用Redis保存Session对象。对象缓存涉及到一个双写一致性问题，有关双写一致性问能够查看这篇博客

9. 秒杀的逻辑优化

顺序：

1. 系统初始化，把商品库存数量加载到Redis
2. 收到请求，Redis原子操做预减库存，库存不足，直接返回，不然进入3
3. 请求入队，当即返回前端“排队中”
4. 请求出队，生成订单，减小库存（服务端）
5. 客户端轮询，是否秒杀成功（客户端）和4同步，获得结果刷新结果显示

优化：

1. 在第二步预减库存时，能够在内存里加一个map，ID为商品ID，value为是否有库存，这样当库存没有以后，直接经过内存中的值判断是否还有库存，减小对Redis的访问。
2. 购买请求加入消息队列，异步下单（前端显示排队中），加强用户体验
3. 前端要尽可能减小重复请求

10. 安全优化

10.1 秒杀接口地址隐藏

1. 每次点击秒杀按钮，先从服务器获取动态拼接而成的秒杀地址。
2. Redis以缓存用户ID和商品ID为Key，秒杀地址为Value缓存秒杀地址
3. 用户请求秒杀商品的时候，要带上秒杀地址进行校验

10.2 数学公式验证码

1. 防止恶意脚本抢购
   
2. 使请求时间分散

10.3 接口限流防刷

使用计数法，在拦截器作限制请求频率。利用Redis缓存的有效期（以用户ID拼接Url做为key，以访问次数为value），指定缓存有效期为1秒，访问接口每次将value+1，到达阈值跳转全局异常。

优化：使用拦截器+自定义注解，减小对业务代码的侵入。有关拦截器能够查看这篇博客
另外对于接口限流也能够考虑使用令牌桶，控制对mysql的访问。

最后，限于笔者经验水平有限，欢迎读者就文中的观点提出宝贵的建议和意见。若是想得到更多的学习资源或者想和更多的技术爱好者一块儿交流，能够关注个人公众号『全菜工程师小辉』后台回复关键词领取学习资料、进入先后端技术交流群和程序员副业群。同时也能够加入程序员副业群Q群：735764906 一块儿交流。