单机的Tomcat应用登录校验:
用户首次登录成功后,服务端会创建一个Session会话,客户端会生成一个sessionid,客户端会把sessionid保存到cookie里,每次请求都携带这个sessionid,服务端通过校验来判断是拦截还是放行
分布式应用中Session共享登录校验:
真实的应用不可能单节点部署,尤其是像中移动,中电信这种较大型的项目,所以就有多个节点登录session共享的问题需要解决。tomcat支持session共享,但是有广播风暴;尤其用户量大的时候,占用资源非常严重
推荐使用Redis来存储token:
服务端使用UUID生成随机64位或者128位token,放入redis中,然后返回给客户端并存储在cookie中,用户每次访问都携带此token,服务端去redis中校验是否有此用户即可
分布式应用登录校验解决方案Json Web Token
Jwt是一个开放标准,他定义了一种用于简洁,自包含的用于通信双方之间以Json对象的形式安全传递信息的方法,可以使用HMAC算法或者RSA的公钥对其签名
简单来说,就是通过一定规范生成token,然后通过解密算法逆向解密,这样就可以获得用户信息
Json Web Token的封装通用方法,JwtTokenUtil
方法有创建token,判断token是否已过期,校验token等
新建一个拦截器类,实现HandlerInterceptor接口,注入Bean,UserService
在重写的preHandle方法里获取token并解密,如果解析不到,通过工具类反馈给客户端无权限的提示,如果token过期,提示“重新登录”
再新建Config类实现WebMvcConfigurer接口,注入拦截器bean,在addInterceptors里配置拦截路径,调用excludePathPatterns方法放行需要放行的资源
新建LoginController,实现注册方法
然后实现Login方法和用来测试用的update方法
接下来用Postman工具来进行测试,发送Json数据到后台,成功响应
测试登录,登录响应成功并返回了token密钥
然后我们测试客户端携带token,访问update方法。由于update方法路径我没有配置放行,所以请求会被拦截,在拦截中校验token,判断是否放行
我们模拟黑客拦截获取到token并进行篡改,再访问,看后台如何响应
这是在JwtTokenUtil里配置了解析方法,后台解析不到header里set的数据,所以报错
中国移动用户人数上亿,给后台数据库带来的瞬间并发和后台登录压力可想而知。所以大型项目都采用前后端分离,服务器分布式集群部署,这样可以把压力分散到各个节点,每个服务器节点只负责处理一部分的功能
腾讯的企业级分布式数据库TD-SQL、TD-SQL-A 在处理大数据,数据冗余,数据高并发等方面,提供了较好的解决方案