单机的Tomcat应用登录校验：

  用户首次登录成功后，服务端会创建一个Session会话，客户端会生成一个sessionid，客户端会把sessionid保存到cookie里，每次请求都携带这个sessionid，服务端通过校验来判断是拦截还是放行

 

分布式应用中Session共享登录校验：

  真实的应用不可能单节点部署，尤其是像中移动，中电信这种较大型的项目，所以就有多个节点登录session共享的问题需要解决。tomcat支持session共享，但是有广播风暴;尤其用户量大的时候，占用资源非常严重

推荐使用Redis来存储token：

  服务端使用UUID生成随机64位或者128位token，放入redis中，然后返回给客户端并存储在cookie中，用户每次访问都携带此token，服务端去redis中校验是否有此用户即可

 

分布式应用登录校验解决方案Json Web Token

  Jwt是一个开放标准，他定义了一种用于简洁，自包含的用于通信双方之间以Json对象的形式安全传递信息的方法，可以使用HMAC算法或者RSA的公钥对其签名

简单来说，就是通过一定规范生成token，然后通过解密算法逆向解密，这样就可以获得用户信息

 

Json Web Token的封装通用方法，JwtTokenUtil

 方法有创建token，判断token是否已过期，校验token等

新建一个拦截器类，实现HandlerInterceptor接口，注入Bean，UserService

 在重写的preHandle方法里获取token并解密，如果解析不到，通过工具类反馈给客户端无权限的提示，如果token过期，提示“重新登录”

 再新建Config类实现WebMvcConfigurer接口，注入拦截器bean，在addInterceptors里配置拦截路径，调用excludePathPatterns方法放行需要放行的资源

 

新建LoginController，实现注册方法

 然后实现Login方法和用来测试用的update方法

 

接下来用Postman工具来进行测试，发送Json数据到后台，成功响应

 测试登录，登录响应成功并返回了token密钥

   然后我们测试客户端携带token，访问update方法。由于update方法路径我没有配置放行，所以请求会被拦截，在拦截中校验token，判断是否放行

 

 我们模拟黑客拦截获取到token并进行篡改，再访问，看后台如何响应

 

这是在JwtTokenUtil里配置了解析方法，后台解析不到header里set的数据，所以报错

 

中国移动用户人数上亿，给后台数据库带来的瞬间并发和后台登录压力可想而知。所以大型项目都采用前后端分离，服务器分布式集群部署，这样可以把压力分散到各个节点，每个服务器节点只负责处理一部分的功能

 

腾讯的企业级分布式数据库TD-SQL、TD-SQL-A 在处理大数据，数据冗余，数据高并发等方面，提供了较好的解决方案