先后端的代码都在GitHub上,https://github.com/xiguanlezz/E-Commerce2前端
基于CAS的登陆中心(跨域名单点登陆)+Redis+Tomcat集群(修改SpringBoot的配置文件中的端口模拟)+JWT生成token+基于Redis的分布式锁java
1、JWT解析
一、认证流程
首先,前端经过表单发送一个POST请求将用户名和密码发到后端(通常是HTTP+SSL),后端去数据库中核对信息,核对成功则将用户的某些信息看成载荷即JWT Payload,经这个载荷和头部分别进行Base64编码拼接后生成签名,造成一个形如header.payload.signature的JWT(token)。git
后端将JWT字符串做为登陆成功的结果返回给前端。前端能够将返回的结果保存在localStorage或sessionStorage上,前端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决XSS和XSRF问题,可经过请求拦截器实现) ,当用户退出登陆时前端删除保存的JWT便可。此外,后端还能够检查JWT的有效性(检查签名是否正确、检查token是否过时、检查token的接收方是不是本身等)。github
二、JWT结构
- Header:令牌的类型(即JWT)和所使用的签名算法(非对称加密),例如HMAC、SHA256或RSA。它会使用Base64编码组成JWT结构的第一部分。
{ "alg": "HS256", "typ": "JWT" }
- Payload:包含有关实体(一般是用户)和其余数据的声明。它会使用Base64编码组成JWT结构的第二部分。
{ "username": "admin", "role": "1" }
- Signature:使用编码后的Header和Payload以及咱们提供的一个密钥,而后使用Header中指定的签名算法(非对称加密)进行签名。签名的做用是保证JWT没有被篡改过,还能保证生成签名的服务器是安全的(使用私钥加密,公钥解密)。
SHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret);
三、JWT的好处
① 输出是三个点分隔的Base64-URL字符串,能够在HTML和HTTP环境中轻松传递这些字符串。算法
② 能够经过URL、POST参数或者在HTTP Header中发送,数据量小,传输速度快。数据库
③ 负载中包含了全部用户所须要的信息,避免了屡次查询数据库。json
注意:Base64只是一种编码,它是能够被翻译回原来的样子来的,并非一种加密过程。所以不该该在负载里面加入任何敏感的数据。后端
四、工具类
public class JWTUtil { private final static String secretKey = "23223232"; //私钥 private final static long expireTime = 1000 * 60 * 30; //设置token的过时时间为30分钟 public static String getToken(User user) { JWTCreator.Builder builder = JWT.create(); assert user != null; builder.withClaim("id", user.getId()); builder.withClaim("username", user.getUsername()); builder.withClaim("email", user.getEmail()); builder.withClaim("phone", user.getPhone()); builder.withClaim("role", user.getRole()); long nowTimeMillis = System.currentTimeMillis(); if (expireTime > 0) { nowTimeMillis += expireTime; } String token = builder .withExpiresAt(new Date(nowTimeMillis)) .sign(Algorithm.HMAC256(secretKey)); return token; } public static void verify(String token) { JWT.require(Algorithm.HMAC256(secretKey)).build().verify(token); } public static String getPayload(String token) { DecodedJWT verify = JWT.require(Algorithm.HMAC256(secretKey)).build().verify(token); assert verify != null; String payload = verify.getPayload(); return payload; } }
2、基于CAS的单点登陆
一、原理图
二、实现代码(不是很妙,用了模板引擎—使用MVVM架构可能正常点)
登陆拦截器(实现了两种方式,一种是session,另外一种是token):跨域
@Order(1) public class LoginInterceptor implements HandlerInterceptor { @Autowired private StringRedisTemplate stringRedisTemplate; @Override public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object handler) throws Exception { String requestURL = httpServletRequest.getRequestURL().toString(); String loginToken = CookieUtil.readLoginToken(httpServletRequest); if (StringUtils.isBlank(loginToken)) { //判断是不是cas以后的请求即请求中是否带有ticket String ticket = httpServletRequest.getParameter("ticket"); if (StringUtils.isNotBlank(ticket)) { //使用token的方式----------------start--------------------- // JWTUtil.verify(ticket); //使用token的方式----------------end--------------------- //使用session的方式----------------start--------------------- String userJson = stringRedisTemplate.opsForValue().get(ticket); User user = JsonUtil.jsonToObject(userJson, User.class); if (user != null) { CookieUtil.writeLoginToken(httpServletResponse, ticket); //写完cookie后原地跳转登陆请求 httpServletResponse.sendRedirect(PropertiesUtil.getProperty("login.url", "http://www.mmall.com:8080/user/login.do")); return false; } //使用session的方式----------------end--------------------- } } else { //判断cookie信息是否有效 //使用token的方式----------------start--------------------- // JWTUtil.verify(loginToken); //使用token的方式----------------end--------------------- //使用session的方式----------------start--------------------- String userJson = stringRedisTemplate.opsForValue().get(loginToken); User user = JsonUtil.jsonToObject(userJson, User.class); if (user != null) { //MVVM架构中都是前端路由, 后端只负责提供数据 httpServletResponse.sendRedirect(PropertiesUtil.getProperty("index.url", "http://www.mmall.com")); return false; } //使用session的方式----------------end--------------------- } if (requestURL.contains("login")) { httpServletResponse.reset(); //这里要添加reset,不然会报异常 httpServletResponse.setCharacterEncoding("UTF-8"); //这里要设置编码, 不然会乱码 String loginCenterURL = PropertiesUtil.getProperty("login.center.url", "http://login.mmall.com:8888/check"); httpServletResponse.sendRedirect(loginCenterURL + "?originalURL=" + PropertiesUtil.getProperty("login.url", "http://www.mmall.com:8080/user/login.do")); } return false; } }
登陆中心的校验拦截器:tomcat
public class CheckInterceptor implements HandlerInterceptor { @Autowired private StringRedisTemplate stringRedisTemplate; @Autowired private ObjectMapper objectMapper; @Override public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object handler) throws Exception { String originalURL = httpServletRequest.getParameter("originalURL"); String loginToken = CookieUtil.readLoginToken(httpServletRequest); if (StringUtils.isNotBlank(loginToken)) { //使用token的方式----------------start--------------------- // JWTUtil.verify(loginToken); //使用token的方式----------------end--------------------- //使用session的方式----------------start--------------------- String userJson = stringRedisTemplate.opsForValue().get(loginToken); User user = objectMapper.readValue(userJson, User.class); assert StringUtils.isNotBlank(originalURL); if (user != null) { httpServletResponse.reset(); //这里要添加reset,不然会报异常 httpServletResponse.setCharacterEncoding("UTF-8"); //这里要设置编码, 不然会乱码 httpServletResponse.sendRedirect(originalURL); return false; } //使用session的方式----------------end--------------------- } return true; } }
3、基于Redis的原生分布式锁
一、Cron表达式
秒 分 时 日 月 周 年(可选)
| 字段 | 容许值 | 容许的特殊字符 |
| 秒(Seconds) | 0~59的整数 | , - * / 四个字符 |
| 分(Minutes) | 0~59的整数 | , - * / 四个字符 |
| 小时(Hours) | 0~23的整数 | , - * / 四个字符 |
| 日期(DayofMonth) | 1~31的整数(可是你须要考虑你月的天数) | ,- * ? / L W C 八个字符 |
| 月份(Month) | 1~12的整数或者 JAN-DEC | , - * / 四个字符 |
| 星期(DayofWeek) | 1~7的整数或者 SUN-SAT (1=SUN) | , - * ? / L C # 八个字符 |
| 年(可选,留空)(Year) | 1970~2099 | , - * / 四个字符 |
二、思想及实现
将到期的时间戳做为存入Redis的value值,setex这一原子操做能够实现分布式锁,可是若是实现的时候没有在原子操做上面加上过时时间的话,这会产生死锁问题,此时须要使用双重检查锁的思想,从Redis中根据key取出相应的value,根据如今的时间戳和value值的关系来决定是否能够得到分布式锁。
@Component public class CloseOrderTask { @Autowired private IOrderService iOrderService; @Autowired private StringRedisTemplate stringRedisTemplate; @Scheduled(cron = "0 */1 * * * ?") public void closeOrderTaskV2() { log.info("关闭订单定时任务启动"); long lockTimeout = Long.parseLong(PropertiesUtil.getProperty("lock.timeout", "5000")); Boolean flag = stringRedisTemplate.opsForValue() .setIfAbsent(Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK, //key String.valueOf(System.currentTimeMillis() + lockTimeout)); //过时的时间戳做为value if (BooleanUtils.isTrue(flag)) { log.info("{}获取到了分布式锁: {}", Thread.currentThread().getName(), Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK); iOrderService.closeOrder(Integer.parseInt(PropertiesUtil.getProperty("close.order.task.time.hour", "2"))); } else { //这里须要用双重检测锁防分布式锁产生死锁 String formerLockValueStr = stringRedisTemplate.opsForValue().get(Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK); assert formerLockValueStr != null; long formerLockValue = Long.parseLong(formerLockValueStr); if (System.currentTimeMillis() > formerLockValue) { //说明以前的锁已通过期, 可从新得到锁 String latterLockValueStr = stringRedisTemplate.opsForValue() .getAndSet(Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK, String.valueOf(System.currentTimeMillis() + lockTimeout)); if (latterLockValueStr == null //调用getAndSet函数的时候锁已通过期, 而且被删除了 || StringUtils.equals(formerLockValueStr, latterLockValueStr)) { //相等代表确实是这个tomcat进程获取到了分布式锁 log.info("{}获取到了分布式锁: {}", Thread.currentThread().getName(), Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK); iOrderService.closeOrder(Integer.parseInt(PropertiesUtil.getProperty("close.order.task.time.hour", "2"))); } else { log.info("没有获取到分布式锁: {}", Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK); } } else { log.info("没有获取到分布式锁: {}", Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK); } } log.info("关闭订单定时任务关闭"); } }