苏州十大广告公司seo网站优化工具
文章目录
- 主要功能
- 生成图形验证码
- redis滑动窗口操作限流
- 0.限流设计的必要性
- 1.原理
- 2.代码(邮箱发验证码为例)
- 3. 问题与解决
- 高并发环境下redis操作的原子性
- 过时数据的积累
- 续约token实现长期登录
- 0.设计的出发点
- 1.前置知识:JWT
- 什么是 JWT?
- JWT 的结构
- 1. Header(头部)
- 2. Payload(负载)
- 3. Signature(签名)
- JWT 的工作原理
- 2.思路
- 正常登录的流程
- 访问受限资源
- code
主要功能
- 生成图形验证码
- redis滑动窗口操作限流
- 续约token实现长期登录的效果
生成图形验证码
hutoool提供了工具类,直接用就行
public Captcha createCaptcha(){// 定义图形验证码的长和宽LineCaptcha lineCaptcha = CaptchaUtil.createLineCaptcha(200, 100);//将验证码储存到redis中,加上TTLString uuid = UUID.randomUUID().toString();stringRedisTemplate.opsForValue().set(LOGIN_CAPTCHA + uuid, lineCaptcha.getCode(), LOGIN_CAPTCHA_TTL, TimeUnit.MINUTES);return new Captcha(uuid, lineCaptcha.getImageBase64());}
redis滑动窗口操作限流
0.限流设计的必要性
用户可能有很多行为,是无意义,或者非法的。比如:频繁发送短信、频繁修改个人信息、频繁的点赞、评论等等行为,这些做法不仅是意义不大的操作,而且还会对我们的服务器带来压力,所以需要设计限流操作。
1.原理
Redis 中的有序集合(ZSet,或称为 Sorted Set)是按照成员的分数(score)从小到大排序的。因此我们将当前的时间戳作为分数的话,这样我们就得到了一个“时间轴”。
Key的格式设计为【场景:行为:用户唯一标识】,score分数值是时间戳,value值是什么都可以,不重要,一般会放时间戳、用户唯一标识和次数等等。
具体流程:
- 当用户每次发生限流行为,都会记录这个行为,以Redis zset的方式进行记录
- 在业务处理流程中,使用java api进行查询判断,其实本质就是调用redis的zcount命令,这个命令可以传入起始分值和结束分值。我就把当前时间戳作为结束分值,然后当前时间戳减去限流时间,比如说5分钟的毫秒值,求出来5分钟前的时间戳。于是根据这两个时间戳作为分值,范围查询zset中出现的次数,就得到用户在5分钟内,这个行为一共触发了几次。
- 后续的业务,就是不同场景中,根据不同的需求,进行校验就行了。
2.代码(邮箱发验证码为例)
public void getCode(String email) {//0.合法性检验,虽然前端会检验邮箱合法性,但后端最好还是也做一些保底的检验//TODO:更多的校验步骤int in = email.indexOf('@');if(in == -1){throw new RuntimeException("邮箱地址不合法");}//1.获取当前的时间窗口long currentTimeMillis = System.currentTimeMillis();long start = currentTimeMillis - LOGIN_EMAIL_WINDOW;//2.执行限流操作前,检查用户是否达到了限制条件Long count = stringRedisTemplate.opsForZSet().count(LOGIN_EMAIL + email, start, currentTimeMillis);//时间窗口里面的操作次数if(count != null && count > 2){//3.达到限流条件,进行限制(deny user)throw new RuntimeException("操作过于频繁,请稍后再试");}//4.未达到,执行操作String code = RandomGenerator.generateRandom(6);MailUtil.send(email, "注册验证码", code, false);stringRedisTemplate.opsForValue().set(LOGIN_CODE + email, code, LOGIN_CODE_TTL, TimeUnit.MINUTES);//5.记录此次操作stringRedisTemplate.opsForZSet().add(LOGIN_EMAIL + email, email, currentTimeMillis);}
3. 问题与解决
高并发环境下redis操作的原子性
使用lua脚本进行一步执行
public void getCode(String email) {// 检验邮箱合法性int in = email.indexOf('@');if (in == -1) {throw new RuntimeException("邮箱地址不合法");}// Lua 脚本String luaScript ="local count = redis.call('zcount', KEYS[1], ARGV[1], ARGV[2])\n" +"if count > tonumber(ARGV[3]) then\n" +" return false\n" +"else\n" +" redis.call('zadd', KEYS[1], ARGV[2], ARGV[4])\n" +" redis.call('setex', KEYS[2], ARGV[5], ARGV[6])\n" +" return true\n" +"end";long currentTimeMillis = System.currentTimeMillis();long start = currentTimeMillis - LOGIN_EMAIL_WINDOW;String code = RandomGenerator.generateRandom(6);// 参数设置List<String> keys = Arrays.asList(LOGIN_EMAIL + email, LOGIN_CODE + email);List<String> args = Arrays.asList(String.valueOf(start),String.valueOf(currentTimeMillis),"2", // 请求次数上限email,String.valueOf(LOGIN_CODE_TTL * 60), // 过期时间(秒)code);// 执行Lua脚本Boolean result = stringRedisTemplate.execute(new DefaultRedisScript<Boolean>(luaScript, Boolean.class),keys,args.toArray(new String[0]));// 判断结果if (Boolean.FALSE.equals(result)) {throw new RuntimeException("操作过于频繁,请稍后再试");}// 发送邮件MailUtil.send(email, "注册验证码", code, false);}
过时数据的积累
定时任务清理过时数据
@Component
public class RedisDataCleaner {private final StringRedisTemplate stringRedisTemplate;public RedisDataCleaner(StringRedisTemplate stringRedisTemplate) {this.stringRedisTemplate = stringRedisTemplate;}@Scheduled(fixedRate = 300000) // 每5分钟执行一次public void cleanOldEntries() {long currentTimeMillis = System.currentTimeMillis();long threshold = currentTimeMillis - (5 * 60 * 1000); // 5分钟前stringRedisTemplate.opsForZSet().removeRangeByScore("yourZSetKey", 0, threshold);}
}
续约token实现长期登录
0.设计的出发点
减少用户登录次数,提高用户体验
1.前置知识:JWT
什么是 JWT?
JWT(JSON Web Token)是一种基于 JSON 的开放标准(RFC 7519),用于在各方之间安全地传输信息。它可以被用来进行身份验证和信息交换。由于 JWT 是经过数字签名的,因此信息是可信任的。
JWT 的结构
一个 JWT 由三个部分组成,每部分之间用点(.)分隔:
- Header(头部)
- Payload(负载)
- Signature(签名)
组合后的格式如下:
xxxxx.yyyyy.zzzzz
1. Header(头部)
Header 通常包含两部分信息:
- 类型:即令牌类型,JWT。
- 算法:用于生成签名的哈希算法,例如 HMAC SHA256 或 RSA。
示例:
{"alg": "HS256","typ": "JWT"
}
然后,将 JSON 格式的 Header 使用 Base64URL 编码,得到 JWT 的第一部分。
2. Payload(负载)
Payload 部分包含声明(Claims),即需要传递的数据。这些声明分为三类:
- 注册声明(Registered Claims):一组预定义的声明,推荐但不强制使用,例如
iss(发行人)、exp(过期时间)、sub(主题)、aud(受众)等。 - 公共声明(Public Claims):可自定义的声明,但为了避免冲突,最好在 IANA JSON Web Token Registry 中注册或使用 URI 形式。
- 私有声明(Private Claims):自定义的声明,用于双方协商使用,不在公共注册中。
示例:
{"sub": "1234567890","name": "John Doe","admin": true
}
同样,将 Payload 使用 Base64URL 编码,得到 JWT 的第二部分。
3. Signature(签名)
签名部分是对前两部分的签名,确保令牌的完整性和真实性。签名的生成方式如下:
signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret
)
其中,secret 是服务器端的密钥,不能泄露。
JWT 的工作原理
-
认证阶段:用户通过提供凭证(如用户名和密码)向服务器请求认证。
-
生成 JWT:服务器验证用户身份后,生成 JWT,包含用户信息和其他声明,并使用密钥进行签名。
-
返回 JWT:服务器将生成的 JWT 返回给客户端。
-
存储 JWT:客户端通常将 JWT 存储在本地存储(LocalStorage)或 Cookie 中。
-
请求带上 JWT:客户端在后续请求中,将 JWT 放在 HTTP 请求的
Authorization头部中:Authorization: Bearer <token> -
服务器验证 JWT:服务器接收到请求后,验证 JWT 的签名和有效性,确认后处理请求。
2.思路
首先明确,无论用户用什么方式登录(包括第三方认证)的,全是返回token作为认证
正常登录的流程
后端在返回Token的时候,是生成两个Token:
一个是AccessToken,我管他叫访问令牌,我处于安全考虑,比如防止令牌被恶意使用,设置他的有效期为3个小时,每次请求资源时携带这个令牌;
另一个是RefreshToken,我管他叫刷新令牌,这个令牌不能用来访问资源,只能用来刷新访问令牌,就是每当访问令牌过期,前端携带这个RefreshToken获取新的AccessToken,这个刷新Token的有效期我设置为7天,当然这个可以改,这是写在配置文件中的。
当Token返回给前端后,浏览器端用的是localStorage保存的,App端的话有他们自己的本地保存方式,将这两个Token保存下来。
访问受限资源
我设置了一个拦截器对受限资源进行拦截,这个拦截器会检验请求中是否携带accessToken,携带了正常的accessToken,放行就行,在这里没有讨论的必要,这里讲解一下其它几种情况:
- 未携带,直接拒绝
- 携带了过期的accessToken,返回accessToken过期的标识,提醒客户端使用refresh刷新accessToken;
前端判断拒绝的状态码为AccessToken无效后,会重新发起一次请求,携带RefreshToken重新请求续约接口,这个续约接口是不需要网关拦截的,然后续约接口针对RefreshToken进行解密后,校验签名没有问题,没有被篡改,于是重新颁发新的AccessToken,返回给前端。
前端重新携带AccessToken发起请求就行了。
code
登录返回双重token
public LoginVO login(LoginDTO loginDTO) {String email = loginDTO.getEmail().toLowerCase();LambdaQueryWrapper<User> queryWrapper = Wrappers.lambdaQuery(User.class).eq(User::getEmail, email).eq(User::getPassword, loginDTO.getPassword()).eq(User::getDelFlag, 0);User user = userService.getOne(queryWrapper);if(BeanUtil.isEmpty(user)){throw new RuntimeException("用户账号或密码错误");}// 生成令牌String accessToken = jwtTokenUtil.generateAccessToken(user);String refreshToken = jwtTokenUtil.generateRefreshToken(user);return new LoginVO(accessToken, refreshToken);
}
刷新接口,提供使用refreshToken刷新accessToken
public LoginVO refresh(String refreshToken) {boolean f = jwtTokenUtil.validateToken(refreshToken);if(!f){throw new RuntimeException("刷新令牌异常,请重新登录");}LambdaQueryWrapper<User> queryWrapper = Wrappers.lambdaQuery(User.class).eq(User::getEmail, jwtTokenUtil.getEmailFromToken(refreshToken)).eq(User::getDelFlag, 0);User user = userService.getOne(queryWrapper);if(BeanUtil.isEmpty(user)){throw new RuntimeException("刷新令牌异常,请重新登录");}String accessToken = jwtTokenUtil.generateAccessToken(user);String newRefreshToken = jwtTokenUtil.generateRefreshToken(user);return new LoginVO(accessToken, newRefreshToken);
}
拦截器,实现对accessToken的解析
public class JwtAuthenticationIntercept implements HandlerInterceptor {private JwtTokenUtil jwtTokenUtil;public JwtAuthenticationIntercept(JwtTokenUtil jwtTokenUtil) {this.jwtTokenUtil = jwtTokenUtil;}@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String header = request.getHeader("Authorization");if (StrUtil.isNotBlank(header) && header.startsWith("Bearer ")) {String token = header.substring(7);if (jwtTokenUtil.validateToken(token)) {String email = jwtTokenUtil.getEmailFromToken(token);UserHolder.saveUser(new UserDTO(email));return true;}response.setHeader("accessToken", "outdated");response.getWriter().write("访问token过期");}return false;}@Overridepublic void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {UserHolder.removeUser();}
}