使用 Redis 实现验证码、token 的存储，用自定义拦截器完成用户认证、并使用双重拦截器解决 token 刷新的问题

可以看一下我以前做过的笔记：黑马点评 短信登录部分

基于session实现登录流程

1.发送验证码

用户在提交手机号后，会校验手机号是否合法，如果不合法，则要求用户重新输入手机号

如果手机号合法，后台此时生成对应的验证码，同时将验证码进行保存，然后再通过短信的方式将验证码发送给用户

2.短信验证码登录、注册用户将验证码和手机号进行输入，后台从session中拿到当前验证码，然后和用户输入的验证码进行校验，如果不一致，则无法通过校验，如果一致，则后台根据手机号查询用户，如果用户不存在，则为用户创建账号信息，保存到数据库，无论是否存在，都会将用户信息保存到session中，方便后续获得当前登录信息

3.校验登录状态

用户在请求的时候，会从cookie中携带JsessionId到后台，后台通过JsessionId从session中拿到用户信息，如果没有session信息，则进行拦截，如果有session信息，则将用户信息保存到threadLocal中，并放行

这段话的大概意思是什么呢：用户请求的时候，会从cookie中携带JsessionId到后台，就如图一样去看这个键值对，键=值，根据这个值去查找这个用户信息，没有这个session信息，就拦截，有就将用户信息保存到threadLocal里面，放行

ThreadLocal可以解释成线程的局部变量，也就是说一个ThreadLocal的变量只有当前自身线程可以访问，别的线程都访问不了

我们从浏览器输入框键入网址，首先浏览器做的第一步工作就是要对 URL 进行解析，从而生成发送给 Web 服务器的请求信息。服务器就帮我去请求这个信息，就是先去问dns

（dns域名解析：看图

首先本地电脑会检查浏览器缓存中有没有这个域名对应的解析过的IP地址，如果缓存中有，这个解析过程就结束。 如果浏览器缓存中没有数据，浏览器会查找操作系统缓存中是否有这个域名对应的DNS解析结果。前两个过程无法解析时，就要用到我们网络配置中的"DNS服务器地址"了。操作系统会把这个域名发送给这个本地DNS服务器。如果本地DNS服务器仍然没有命中，就直接到根DNS服务器请求解析。根DNS服务器返回给本地DNS域名服务器一个顶级DNS服务器地址，它是国际顶级域名服务器，如.com、.cn、.org等， 本地DNS服务器再向上一步获得的顶级DNS服务器发送解析请求。诶没有顶级DNS服务器就让他去问权威DNS服务器，权威 DNS 服务器查询后将对应的 IP 地址 X.X.X.X 告诉本地 DNS。本地 DNS 再将 IP 地址返回客户端，客户端和目标建立连接。）

通过 DNS 获取到 IP 后，就可以把 HTTP 的传输工作交给操作系统中的协议栈。

http协议是处于TCP/IP协议的体系的应用层，它属于应用层的协议

session的数据是存储于服务器端的，服务端的数据量非常大的时候，就容易造成内存不足

redis是基于内存的高性能数据库，他的读写速率非常快和session相似

Cookie的工作原理

（1）浏览器端第一次发送请求到服务器端

（2）服务器端创建Cookie，该Cookie中包含用户的信息，然后将该Cookie发送到浏览器端

（3）浏览器端再次访问服务器端时会携带服务器端创建的Cookie

（4）服务器端通过Cookie中携带的数据区分不同的用户

Session的工作原理

（1）浏览器端第一次发送请求到服务器端，服务器端创建一个Session，同时会创建一个特殊的Cookie（name为JSESSIONID的固定值，value为session对象的ID），然后将该Cookie发送至浏览器端

（2）浏览器端发送第N（N>1）次请求到服务器端,浏览器端访问服务器端时就会携带该name为JSESSIONID的Cookie对象

（3）服务器端根据name为JSESSIONID的Cookie的value(sessionId),去查询Session对象，从而区分不同用户。

name为JSESSIONID的Cookie不存在（关闭或更换浏览器），返回1中重新去创建Session与特殊的Cookie

name为JSESSIONID的Cookie存在，根据value中的SessionId去寻找session对象

value为SessionId不存在**（Session对象默认存活30分钟）**，返回1中重新去创建Session与特殊的Cookie

value为SessionId存在，返回session对象

DTO：

接受前端数据传输给service层

service层传输数据给前端数据

中间就是要通过cotrooer层

用于服务层之间数据传输。

包含数据对象，主要是变量定义和get、set方法。

dto可以封装需要传输的数据。

VO：

在controller层将数据传递给前端展示。

fillBeanWithMap的意思就是这个

我们想redis存入的是hash

如果我们要将信息存入ThreadLocal中的话，那么就要将map转为bean

Session集群共享问题

如何解决集群的session共享问题？

用redis替代session实现登录注册功能啊，分布式系统下每一个服务器的session都是独立的，就是说你切换到其他服务器，比如你要切换到发布帖子，查看评论什么的，再次调回来登录界面又要重新登录了，多次重复登录多麻烦啊，这得使用redis可以保证多个服务器访问的是同一个redis，则保证了不会再重复登录了，实现了数据的共享；

为什么redis能解决集群的session共享问题？

先说一下Session集群共享问题造成哪些问题？

比如：在当前这个服务器上用户已经完成了登录，Session中存储了用户的信息，能够判断用户已登录，但是在另一个服务器的Session中没有用户信息，无法调用显示没有登录的服务器上的服务

为什么会出现这种情况？？

如图：

拿session来说，一个用户它去B服务器登录注册，B服务器上保存了它的信息，此时正在向A,C服务器同步信息，但是此时诶，浏览器关了或者跑到其他页面去了，回来到C服务器登录注册页面的时候，发现没有登录成功还要再重复登录一次。因为B服务器并没有成功的向A,C服务器同步用户的信息。

这个时候需要redis替代session实现登录注册功能：

就前面校验登录状态：（用户在请求的时候，会从cookie中携带JsessionId到后台，去看那个键值对，后台通过JsessionId从session中拿到用户信息，如果没有session信息，则进行拦截（就是登录不成功），如果有session信息，则将用户信息保存到threadLocal中，并放行（登录成功））这个原理来说，使用redis可以保证多个服务器访问的是同一个redis（因为用户在B服务器上保存的信息其实已经保存在redis里面了，其他服务器都可以来访问redis里面的信息，来查找session信息，看有没有他们想要的信息，大概意思就是这样）

Redis缓存相较于传统Session存储的优点：（记一下就行）

高性能和可伸缩性：Redis 是一个内存数据库，具有快速的读写能力。相比于传统的 Session 存储方式，将会话数据存储在 Redis 中可以大大提高读写速度和处理能力。此外，Redis 还支持集群和分片技术，可以实现水平扩展，处理大规模的并发请求。

可靠性和持久性：Redis 提供了持久化机制，可以将内存中的数据定期或异步地写入磁盘，以保证数据的持久性。这样即使发生服务器崩溃或重启，会话数据也可以被恢复。

丰富的数据结构：Redis 不仅仅是一个键值存储数据库，它还支持多种数据结构，如字符串、列表、哈希、集合和有序集合等。这些数据结构的灵活性使得可以更方便地存储和操作复杂的会话数据。

分布式缓存功能：Redis 作为一个高效的缓存解决方案，可以用于缓存会话数据，减轻后端服务器的负载。与传统的 Session 存储方式相比，使用 Redis 缓存会话数据可以大幅提高系统的性能和可扩展性。

可用性和可部署性：Redis 是一个强大而成熟的开源工具，有丰富的社区支持和活跃的开发者社区。它可以轻松地与各种编程语言和框架集成，并且可以在多个操作系统上运行。

双重拦截器

配置登录拦截器：

原理就是上面 的“3.校验登录状态”

还需要单独配置一个拦截器用户刷新Redis中的token：

我们之前只配置了一个登录拦截器，这里需要另外再配置一个拦截器专门用户刷新存入Redis中的token，因为我们现在改用Redis了，为了防止用户在操作网站时突然由于Redis中的 token 过期，导致直接退出网站，严重影响用户体验。那为什么不把刷新的操作放到一个拦截器中呢，因为之前的那个拦截器只是用来拦截一些需要进行登录校验的请求，对于哪些不需要登录校验的请求是不会走拦截器的，刷新操作显然是要针对所有请求比较合理，所以单独创建一个拦截器拦截一切请求，刷新Redis中的Key

然后将自定义的拦截器添加到SpringMVC的拦截器表中，使其生效

啊大概先到这了，后续有补充的会继续补充上去。