中移在线ChinaMobile系统单机和分布式应用的登录校验解决方案

单机的Tomcat应用登录校验:

用户首次登录成功后,服务端会创建一个Session会话,客户端会生成一个sessionid,客户端会把sessionid保存到cookie里,每次请求都携带这个sessionid,服务端通过校验来判断是拦截还是放行

分布式应用中Session共享登录校验:

真实的应用不可能单节点部署,尤其是像中移动,中电信这种较大型的项目,所以就有多个节点登录session共享的问题需要解决。tomcat支持session共享,但是有广播风暴;尤其用户量大的时候,占用资源非常严重

推荐使用Redis来存储token:

服务端使用UUID生成随机64位或者128位token,放入redis中,然后返回给客户端并存储在cookie中,用户每次访问都携带此token,服务端去redis中校验是否有此用户即可

分布式应用登录校验解决方案Json Web Token

Jwt是一个开放标准,他定义了一种用于简洁,自包含的用于通信双方之间以Json对象的形式安全传递信息的方法,可以使用HMAC算法或者RSA的公钥对其签名

简单来说,就是通过一定规范生成token,然后通过解密算法逆向解密,这样就可以获得用户信息

Json Web Token的封装通用方法,JwtTokenUtil

方法有创建token,判断token是否已过期,校验token等

新建一个拦截器类,实现HandlerInterceptor接口,注入Bean,UserService

在重写的preHandle方法里获取token并解密,如果解析不到,通过工具类反馈给客户端无权限的提示,如果token过期,提示"重新登录"

再新建Config类实现WebMvcConfigurer接口,注入拦截器bean,在addInterceptors里配置拦截路径,调用excludePathPatterns方法放行需要放行的资源

新建LoginController,实现注册方法

然后实现Login方法和用来测试用的update方法

接下来用Postman工具来进行测试,发送Json数据到后台,成功响应

测试登录,登录响应成功并返回了token密钥

然后我们测试客户端携带token,访问update方法。由于update方法路径我没有配置放行,所以请求会被拦截,在拦截中校验token,判断是否放行

我们模拟黑客拦截获取到token并进行篡改,再访问,看后台如何响应

这是在JwtTokenUtil里配置了解析方法,后台解析不到header里set的数据,所以报错

中国移动用户人数上亿,给后台数据库带来的瞬间并发和后台登录压力可想而知。所以大型项目都采用前后端分离,服务器分布式集群部署,这样可以把压力分散到各个节点,每个服务器节点只负责处理一部分的功能

腾讯的企业级分布式数据库TD-SQL、TD-SQL-A 在处理大数据,数据冗余,数据高并发等方面,提供了较好的解决方案

相关推荐
tianyuanwo7 分钟前
深入掌握 java -jar 命令:从基础到 Jenkins Agent 实战
java·jenkins·jar
Full Stack Developme18 分钟前
MyBatis-Plus(MP)AST 抽象语法树 设计原理
java·tomcat·mybatis
宠友信息27 分钟前
消息撤回与已读状态如何在即时通讯源码中统一管理
java·spring boot·websocket·mysql·uni-app
小小放舟、35 分钟前
Windows 本地安装 Elasticsearch 8.10.0 与 IK 分词器(2026)
java·大数据·windows·spring boot·elasticsearch·搜索引擎·全文检索
zzz_236837 分钟前
【Java实习面试算法冲刺】总复盘
java·算法·面试
從南走到北38 分钟前
JAVA无人共享系统无人场馆预约篮球系统源码支持小程序+公众号+APP+H5
java·开发语言·小程序
码智社42 分钟前
Maven 零基础完整教程
java·开发语言·maven
半夜修仙1 小时前
Spring集成邮箱功能
java·开发语言·spring boot·spring·rabbitmq·github·maven
曾阿伦1 小时前
Maven 构建工程化指南
java·maven
宠友信息1 小时前
从重复请求到订单同步看内容社区源码的处理思路
java·spring boot·redis·后端·mysql·spring