分布式电商项目(单体架构-＞分布式架构)

前后端的代码都在GitHub上，https://github.com/xiguanlezz/E-Commerce2

基于CAS的登录中心(跨域名单点登录)+Redis+Tomcat集群(修改SpringBoot的配置文件中的端口模拟)+JWT生成token+基于Redis的分布式锁

一、JWT解析

1、认证流程

       首先，前端通过表单发送一个POST请求将用户名和密码发到后端(一般是HTTP+SSL)，后端去数据库中核对信息，核对成功则将用户的某些信息当作载荷即JWT Payload，经这个载荷和头部分别进行Base64编码拼接后生成签名，形成一个形如header.payload.signature的JWT(token)。

       后端将JWT字符串作为登录成功的结果返回给前端。前端可以将返回的结果保存在localStorage或sessionStorage上，前端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决XSS和XSRF问题，可通过请求拦截器实现) ，当用户退出登录时前端删除保存的JWT即可。此外，后端还可以检查JWT的有效性(检查签名是否正确、检查token是否过期、检查token的接收方是否是自己等)。

2、JWT结构

Header：令牌的类型(即JWT)和所使用的签名算法(非对称加密)，例如HMAC、SHA256或RSA。它会使用Base64编码组成JWT结构的第一部分。 { "alg": "HS256", "typ": "JWT" } Payload：包含有关实体(通常是用户)和其他数据的声明。它会使用Base64编码组成JWT结构的第二部分。 { "username": "admin", "role": "1" } Signature：使用编码后的Header和Payload以及我们提供的一个密钥，然后使用Header中指定的签名算法(非对称加密)进行签名。签名的作用是保证JWT没有被篡改过，还能保证生成签名的服务器是安全的(使用私钥加密，公钥解密)。 SHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret);

3、JWT的好处

       ① 输出是三个点分隔的Base64-URL字符串，可以在HTML和HTTP环境中轻松传递这些字符串。

       ② 可以通过URL、POST参数或者在HTTP Header中发送，数据量小，传输速度快。

       ③ 负载中包含了所有用户所需要的信息，避免了多次查询数据库。

       注意：Base64只是一种编码，它是可以被翻译回原来的样子来的，并不是一种加密过程。因此不应该在负载里面加入任何敏感的数据。

4、工具类

public class JWTUtil { private final static String secretKey = "23223232"; //私钥 private final static long expireTime = 1000 * 60 * 30; //设置token的过期时间为30分钟 public static String getToken(User user) { JWTCreator.Builder builder = JWT.create(); assert user != null; builder.withClaim("id", user.getId()); builder.withClaim("username", user.getUsername()); builder.withClaim("email", user.getEmail()); builder.withClaim("phone", user.getPhone()); builder.withClaim("role", user.getRole()); long nowTimeMillis = System.currentTimeMillis(); if (expireTime > 0) { nowTimeMillis += expireTime; } String token = builder .withExpiresAt(new Date(nowTimeMillis)) .sign(Algorithm.HMAC256(secretKey)); return token; } public static void verify(String token) { JWT.require(Algorithm.HMAC256(secretKey)).build().verify(token); } public static String getPayload(String token) { DecodedJWT verify = JWT.require(Algorithm.HMAC256(secretKey)).build().verify(token); assert verify != null; String payload = verify.getPayload(); return payload; } }

二、基于CAS的单点登录

1、原理图

2、实现代码(不是很妙，用了模板引擎—使用MVVM架构可能正常点)

       登录拦截器(实现了两种方式，一种是session，另一种是token)：

@Order(1) public class LoginInterceptor implements HandlerInterceptor { @Autowired private StringRedisTemplate stringRedisTemplate; @Override public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object handler) throws Exception { String requestURL = httpServletRequest.getRequestURL().toString(); String loginToken = CookieUtil.readLoginToken(httpServletRequest); if (StringUtils.isBlank(loginToken)) { //判断是否是cas之后的请求即请求中是否带有ticket String ticket = httpServletRequest.getParameter("ticket"); if (StringUtils.isNotBlank(ticket)) { //使用token的方式----------------start--------------------- // JWTUtil.verify(ticket); //使用token的方式----------------end--------------------- //使用session的方式----------------start--------------------- String userJson = stringRedisTemplate.opsForValue().get(ticket); User user = JsonUtil.jsonToObject(userJson, User.class); if (user != null) { CookieUtil.writeLoginToken(httpServletResponse, ticket); //写完cookie后原地跳转登录请求 httpServletResponse.sendRedirect(PropertiesUtil.getProperty("login.url", "http://www.mmall.com:8080/user/login.do")); return false; } //使用session的方式----------------end--------------------- } } else { //判断cookie信息是否有效 //使用token的方式----------------start--------------------- // JWTUtil.verify(loginToken); //使用token的方式----------------end--------------------- //使用session的方式----------------start--------------------- String userJson = stringRedisTemplate.opsForValue().get(loginToken); User user = JsonUtil.jsonToObject(userJson, User.class); if (user != null) { //MVVM架构中都是前端路由, 后端只负责提供数据 httpServletResponse.sendRedirect(PropertiesUtil.getProperty("index.url", "http://www.mmall.com")); return false; } //使用session的方式----------------end--------------------- } if (requestURL.contains("login")) { httpServletResponse.reset(); //这里要添加reset，否则会报异常 httpServletResponse.setCharacterEncoding("UTF-8"); //这里要设置编码, 否则会乱码 String loginCenterURL = PropertiesUtil.getProperty("login.center.url", "http://login.mmall.com:8888/check"); httpServletResponse.sendRedirect(loginCenterURL + "?originalURL=" + PropertiesUtil.getProperty("login.url", "http://www.mmall.com:8080/user/login.do")); } return false; } }

       登录中心的校验拦截器：

public class CheckInterceptor implements HandlerInterceptor { @Autowired private StringRedisTemplate stringRedisTemplate; @Autowired private ObjectMapper objectMapper; @Override public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object handler) throws Exception { String originalURL = httpServletRequest.getParameter("originalURL"); String loginToken = CookieUtil.readLoginToken(httpServletRequest); if (StringUtils.isNotBlank(loginToken)) { //使用token的方式----------------start--------------------- // JWTUtil.verify(loginToken); //使用token的方式----------------end--------------------- //使用session的方式----------------start--------------------- String userJson = stringRedisTemplate.opsForValue().get(loginToken); User user = objectMapper.readValue(userJson, User.class); assert StringUtils.isNotBlank(originalURL); if (user != null) { httpServletResponse.reset(); //这里要添加reset，否则会报异常 httpServletResponse.setCharacterEncoding("UTF-8"); //这里要设置编码, 否则会乱码 httpServletResponse.sendRedirect(originalURL); return false; } //使用session的方式----------------end--------------------- } return true; } }

三、基于Redis的原生分布式锁

1、Cron表达式

       秒 分 时 日 月 周 年(可选)

  字段允许值允许的特殊字符秒（Seconds）0~59的整数, - * /    四个字符分（Minutes）0~59的整数, - * /    四个字符小时（Hours）0~23的整数, - * /    四个字符日期（DayofMonth）1~31的整数（但是你需要考虑你月的天数）,- * ? / L W C     八个字符月份（Month）1~12的整数或者 JAN-DEC, - * /    四个字符星期（DayofWeek）1~7的整数或者 SUN-SAT （1=SUN）, - * ? / L C #     八个字符年(可选，留空)（Year）1970~2099, - * /    四个字符

2、思想及实现

       将到期的时间戳作为存入Redis的value值，setex这一原子操作可以实现分布式锁，但是如果实现的时候没有在原子操作上面加上过期时间的话，这会产生死锁问题，此时需要使用双重检查锁的思想，从Redis中根据key取出相应的value，根据现在的时间戳和value值的关系来决定是否可以获得分布式锁。

@Component public class CloseOrderTask { @Autowired private IOrderService iOrderService; @Autowired private StringRedisTemplate stringRedisTemplate; @Scheduled(cron = "0 */1 * * * ?") public void closeOrderTaskV2() { log.info("关闭订单定时任务启动"); long lockTimeout = Long.parseLong(PropertiesUtil.getProperty("lock.timeout", "5000")); Boolean flag = stringRedisTemplate.opsForValue() .setIfAbsent(Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK, //key String.valueOf(System.currentTimeMillis() + lockTimeout)); //过期的时间戳作为value if (BooleanUtils.isTrue(flag)) { log.info("{}获取到了分布式锁: {}", Thread.currentThread().getName(), Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK); iOrderService.closeOrder(Integer.parseInt(PropertiesUtil.getProperty("close.order.task.time.hour", "2"))); } else { //这里需要用双重检测锁防分布式锁产生死锁 String formerLockValueStr = stringRedisTemplate.opsForValue().get(Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK); assert formerLockValueStr != null; long formerLockValue = Long.parseLong(formerLockValueStr); if (System.currentTimeMillis() > formerLockValue) { //说明之前的锁已经过期, 可重新获得锁 String latterLockValueStr = stringRedisTemplate.opsForValue() .getAndSet(Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK, String.valueOf(System.currentTimeMillis() + lockTimeout)); if (latterLockValueStr == null //调用getAndSet函数的时候锁已经过期, 并且被删除了 || StringUtils.equals(formerLockValueStr, latterLockValueStr)) { //相等表明确实是这个tomcat进程获取到了分布式锁 log.info("{}获取到了分布式锁: {}", Thread.currentThread().getName(), Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK); iOrderService.closeOrder(Integer.parseInt(PropertiesUtil.getProperty("close.order.task.time.hour", "2"))); } else { log.info("没有获取到分布式锁: {}", Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK); } } else { log.info("没有获取到分布式锁: {}", Const.REDIS_LOCK.CLOSE_ORDER_TASK_LOCK); } } log.info("关闭订单定时任务关闭"); } }