这一篇博客来讲解下babasport这个项目中使用的Login功能, 当然这里说的只是其中的一些简单的部分, 记录在此 方便以后查阅.
一: 去登录页面
首先我们登录需要注意的事项是, 当用户点击登录按钮时,转入登录页面时也要记住之前用户是从哪个页面发送请求过来的, 这样登录成功后还能继续跳回到用户之前浏览的那个页面.
我们页面展示显示的登录按钮都是集成在一个common的jsp中, 前台每个页面都是引用的这个jsp, 所以需要在这个common的jsp中直接添加点击登录按钮跳转的页面.
这里点击登录按钮后 就会使用window.location.href="http://localhost:8081/login.aspx?returnUrl="+encodeURIComponent(window.location.href);跳转到新的页面, 且这里传入的参数 是浏览器的url, 这个就是为了登录成功后 还能继续跳转到这个页面来. 而encodeURIComponent是 js自带的转义类, 转义的好处是能够在url中带中文重定向后无法接收 且url带多参数解决&被转义而无效的情况.
下图就是跳转到login页面前的window.location.href属性:
二, 处理登录操作
到了登录界面后, 查看登陆界面图, 这里的url参数是经过转义的:
点击登录按钮 会进入到LoginController.java中:
1 //去登录页面 2 @RequestMapping(value="/login.aspx",method=RequestMethod.GET) 3 public String login(){ 4 return "login"; 5 } 6 7 @Autowired 8 private BuyerService buyerService; 9 10 @Autowired11 private SessionProviderService sessionProviderService;12 //执行登录操作13 @RequestMapping(value="/login.aspx",method=RequestMethod.POST)14 public String login(String username, String password, String returnUrl,Model model,15 HttpServletRequest request, HttpServletResponse response){16 //1: 判断用户名不能为空17 if(null != username){18 //2:判断密码不能为空19 if (null != password){20 //3:用户名必须正确21 Buyer buyer = buyerService.selectBuyerByusername(username);22 if(buyer != null){23 //4:密码必须正确24 if(encodePassword(password).equals(buyer.getPassword())){25 //5:设置用户到Session26 sessionProviderService.setAttributerForUsername(RequestUtils.getCSessionId(request, response), buyer.getUsername());27 //6:回跳之前访问页面28 if(null != returnUrl){29 return "redirect:"+returnUrl;30 }else{31 return "redirect:http://localhost:8082/";32 }33 }else {34 model.addAttribute("error", "密码输入错误!");35 }36 }else {37 model.addAttribute("error", "用户名输入错误!");38 }39 40 }else {41 model.addAttribute("error", "密码不能为空!");42 }43 }else {44 model.addAttribute("error", "用户名不能为空!");45 }46 47 48 return "login";49 }50 51 //加密52 public String encodePassword(String password){53 54 String algorithm = "MD5";55 char[] encodeHex = null;56 //MD557 try {58 MessageDigest instance = MessageDigest.getInstance(algorithm);59 byte[] digest = instance.digest(password.getBytes());60 61 //十六进制, 在MD5加密的基础上再次加密62 encodeHex = Hex.encodeHex(digest);63 } catch (NoSuchAlgorithmException e) {64 // TODO Auto-generated catch block65 e.printStackTrace();66 }67 68 return new String(encodeHex);69 }
这里使用了MD5加密, 经过MD5加密后在使用十六进制进行加密.
如果登陆成功, 调用sessionProviderService.setAttributerForUsername(RequestUtils.getCSessionId(request, response), buyer.getUsername());
SessionProviderImpl.java:
1 //session存活时间, 单位是分钟. 2 private Integer exp = 30; 3 public void setExp(Integer exp) { 4 this.exp = exp; 5 } 6 7 8 @Autowired 9 private Jedis jedis;10 //保存用户到redis中 注册: 保存用户到mysql的同时保存用户名作为Key 用户Id当做value 到redis中11 //jessionId value==用户名12 public void setAttributerForUsername(String jessionId, String value){13 jedis.set(jessionId + ":USER_NAME", value);14 jedis.expire(jessionId + ":USER_NAME", 60*exp);15 }
将username信息保存到Redis中, key是CSessionId:USER_NAME, value是username.
三: 验证用户是否登录
首先看下没有Login的时候最原始的页面:
那么显然这里就不对了, 如果没有登录, 那么就只应该显示[登录]和[免费注册], 后面的[退出]和[我的订单]就不应该显示的, 那么怎么来验证是否登录呢?
这里头部显示的内容全都是引用的同一个common的jsp文件, 首先在页面加载的时候我们应该判断用户是否登录:
如果这里我们直接使用ajax异步去调用获取用户是否已经登录, 这里dataType暂时使用json(jsonp是为了解决跨域问题)
如果我们代码中也是这样改动的, 那么会发生什么事情呢?
这里提示不能够跨域访问? 那么该怎么去做呢?
上面的截图已经给出了, 我们传递的dataType类型是jsonp, 就意味着我们这个ajax请求时跨域请求.
这里又引出一个新问题, 关于多服务器的问题, 如果用户登录时所处的服务器是Tomcat1, 那么登录后当用户再次访问页面时同样会做登录验证, 这个时候如果是Tomcat2呢?
所以这里就引出了抛弃使用jesseionId的想法,具体的解决方法如图:
我们自己创建一个CsessionId, 当用户第一次访问时, CsessionId为空, 那么 在Tomcat1总创建一个CsessionId, 并且将此CsessionId保存到Redis服务器中, 且返回给浏览器.
当用户第二次访问, 且由Tomcat2 负责处理时, Tomcat2 通过CsessionId去Redis服务器中查找已存在, 然后就知道了此用户已经登录.
下面就看看对于这个CsessionId是如何操作的:
跨域请求后, isLogin接收的参数有一个callBack属性, 如果是跨域请求, 那么这个参数就会有值.
1 //是否登录 2 @RequestMapping(value="/isLogin.aspx") 3 public @ResponseBody MappingJacksonValue isLogin(String callback, HttpServletRequest request, HttpServletResponse response) throws IOException{ 4 Integer result = 0; 5 //判断用户是否登录 6 String username = sessionProviderService.getAttributterForUsername(RequestUtils.getCSessionId(request, response)); 7 if (null != username) { 8 result = 1; 9 }10
11 //返回<script> 类, 这个类支持跨域请求12 MappingJacksonValue mjv = new MappingJacksonValue(result);13 //设置jsonpFunction14 mjv.setJsonpFunction(callback);15 return mjv;16 }这个地方 是先通过RequestUtils获取CSessionId, 然后再通过CSessionId去获取到对应的username.
RequestUtils.java:
1 public class RequestUtils { 2 3 //获取CSessionID 4 public static String getCSessionId(HttpServletRequest request, HttpServletResponse response){ 6 //1, 从Request中取Cookie 7 Cookie[] cookies = request.getCookies(); 8 //2, 从Cookie数据中遍历查找, 并取CSessionID 9 if (null != cookies && cookies.length > 0) {10 for (Cookie cookie : cookies) {11 if ("CSESSIONID".equals(cookie.getName())) {12 //有, 直接返回13 return cookie.getValue();14 }15 }16 }17 //没有, 创建一个CSessionId, 并且放到Cookie再返回浏览器.返回新的CSessionID18 String csessionid = UUID.randomUUID().toString().replaceAll("-", "");19 //并且放到Cookie中20 Cookie cookie = new Cookie("CSESSIONID", csessionid);21 //cookie 每次都带来, 设置路径22 cookie.setPath("/");23 //0:关闭浏览器 销毁cookie. 0:立即消失. >0 存活时间,秒24 cookie.setMaxAge(-1);25 26 return csessionid;27 }28 }
先查看cookies中是否保存的有CSessionId, 如果没有就新创建一个, 且保存到Cookies中.
SessionProviderImpl.java:
1 public class SessionProviderImpl implements SessionProviderService { 2 3 //session存活时间, 单位是分钟. 4 private Integer exp = 30; 5 public void setExp(Integer exp) { 6 this.exp = exp; 7 } 8 9 10 @Autowired11 private Jedis jedis;12 //保存用户到redis中 注册: 保存用户到mysql的同时保存用户名作为Key 用户Id当做value 到redis中13 //jessionId value==用户名14 public void setAttributerForUsername(String jessionId, String value){15 jedis.set(jessionId + ":USER_NAME", value);16 jedis.expire(jessionId + ":USER_NAME", 60*exp);17 }18 19 20 //获取21 public String getAttributterForUsername(String jessionId){22 String value = jedis.get(jessionId + ":USER_NAME");23 if(null != value){24 //计算session过期时间是 用户最后一次请求开始计时.25 jedis.expire(jessionId + ":USER_NAME", 60*exp);26 return value;27 }28 return null;29 }30 }
这里的getAttributterForUsername 是通过传递进来的CSessionId 去Redis服务器中查找 相应的结果, 如果已经保存了这个 CSessionId, 那么就返回username.
如果已经登陆, 那么就返回1, 在ajax请求的success中再进行相应的处理.
关于登陆的再来梳理一下:
已经登陆, 校验是否登陆
登陆成功: 会将一个CSessionId保存到Redis中, Redis中设置的这个CSessionId的过期时间为60分钟.
CSessionId是保存在Cookies中的, 如果Cookies中没有这个CSessionId则创建一个返回.Cookies中的CSessionId的过期时间也是60分钟.
校验是否登录:通过ajax发送跨域请求, 此时因为已经登陆成功, 所以Cookies中存在这个CSessionId. 然后通过这个CSessionId我们可以在Redis服务器中查出对应的username. 然后Controller将设置一个flag为1, 在ajax中接收到这个flag , 就可以根据判断来做出相应的处理.
关于Login就这么多, 当然这里的权限验证远远不够, 而且这里也省略的注册的内容, 大致需要注意的就是这么多, 其中最 关键的就是CSession的使用, 这个可以解决多服务器直接session的共享.
分类: 项目构建
