浅谈踢人下线的设计思路!(附代码实现方案)

前言

前两天写了一篇文章,主要讲了下java中如何实现踢人下线,原文链接:java中如何踢人下线?封禁某个账号后使其会话立即掉线!

本来只是简单阐述一下踢人下线的业务场景和实现方案,没想到引出那么多大佬把小弟喷的睁不开眼睛,为了避免大家继续喷我,特再写下此篇文章,彻底讲清楚各种场景下踢人下线的设计思路,如有不足之处还请各位大佬轻喷!

好了废话不多说,正文开始

正文

如果把踢人下线比喻成拆房子,那么在学会拆房之前,我们必须要了解这座房子是怎么盖起来的,不同的盖法对应不同的拆法,不能混为一谈

对于目前大多数系统来讲,登录主要有两种方式,一是传统Session模式,二是jwt令牌模式

传统Session模式

我们先以Session模式为例,这种模式是怎么登录的呢?

(注:此处的Session不单指HttpSession,指一切使用服务端控制会话的手段)

这里我们不使用任何框架,从底层逻辑开始说起。

首先,你需要一个全局拦截器,拦截所有会话请求,如果此会话已经登录,那么拦截器放行,如果未登录,直接将此会话强制重定向到登录接口

  1. 在登录接口,我们需要接受两个参数:username + password, 拿这两个参数去数据库中获取数据

  2. 如果查不到数据,直接返回用户名或密码错误,如果可以查找到数据,那么开始登录

  3. 利用一定的算法(例如uuid),生成一个随机字符串,就像这样子:623368f0-ae5e-4475-a53f-93e4225f16ae, 这就是我们的token

  4. 现在我们需要做两件事,一是建立此tokenUserId的映射关系,二是把这个token返回给前端

    1. 建立映射:在Redis中添加一条数据,假如userId=10001,那么我们需要RedisUtil.set("623368f0-ae5e-4475-a53f-93e4225f16ae", 10001)

    2. token传递给前台,你可以放到Cookie里,或者直接放到返回体body

  5. 大工告成,会话登录完毕!在全局拦截器里,我们不认userId只认token,谁持有623368f0-ae5e-4475-a53f-93e4225f16ae这个令牌,谁就是用户10001

  6. 一个会话访问进来,有token且token有效,那么会话放行!没有?乖乖滚去登录!

此时不难看出,一个客户端要保持会话登录的两个必要条件:

  1. 此客户端持有token

  2. 这个token是一个有效token,即:可以从Redis中找到对应的UserId

而我们要做踢人下线,就必须从这两点至少选择其一开始下手

首先我们先明确一点:除非客户端主动注销,否则我们是无法清除一个已经颁发到客户端的token的。

(除了Cookie清除技术WebSocket实时推送技术可以做到,但是这两种技术都需要客户端主动配合,我们现在的假设是客户端拒不配合,我们需要将它强制清退下线。)

现在,我们只能从第二点下手,即:清除此tokenUserId的映射关系

你可能会想,这不简单?Redis清除一个键值,还不是一行代码就能解决的事情?

此时你可能漏掉了关键的一点,那就是,我们只在Redis中存储了token -> UserId的映射关系,如果我们要踢出用户10001,正常情况下,我们无法只根据10001找到它对应的token是哪个键值

要解决这个问题,我们就必须把UserId -> token的映射关系也存储一份,你可以存储在数据库中,也可以存储在Redis中,为了性能考虑,我们使用Redis

现在事情变得简单起来,要踢人下线,我们只需要两步:

  1. 找到账号10001对应的token键值

  2. 删除这个键值

OK,踢出成功,待到此账号下一次访问系统时,虽然他携带了token,但是此token已成为无效token,乖乖去登陆吧!

此时你可能会说:

就这?我创建个集合保存所有要踢出下线的账号,每次拦截器里判断这个会话是否在这个集合中不就OK了?

大佬请慢喷!这就是我要说的第二种模式————黑名单机制,且往下看

jwt模式

jwt模式的登陆步骤与传统Session模式区别不大,在此暂不赘述

不同点在于,jwt登陆时,不会在服务器保存任何会话信息,所有的用户参数都被写进了jwt生成的token中

(所以jwttoken才会长的那么长!通常两三百字符长度起步)

一个会话是否有效,只看这个会话携带的token能不能正常解析出数据!

这也就意味着令牌的合法性是令牌自解释的,而不是服务器说了算!

所以,相比于传统Session模式jwt对令牌的可控性就弱了很多,无法做到主动清除token -> UserId 映射关系的操作

除非你手动更换jwt令牌生成的算法秘钥,但是这样会造成系统中所有令牌全部失效,全部用户集体下线!这是万万不行的。

那怎么办?难道我就不能做到踢人下线的操作吗?

其实办法肯定是有的,只要思想不滑坡,方法总比困难多!

那就是利用黑名单机制:我们要踢出哪个用户,只需要将他的UserId或者jwt-token放进一个黑名单里,然后我们在拦截器里检查每个请求的token或者UserId是否存在于这个黑名单里即可!

这种方式和传统Session模式孰优孰劣呢?只能说各有千秋!

黑名单机制在存储时节省性能,在拦截器里多了一步黑名单检测的步骤,浪费性能!

不过坦白了讲,这丁点的性能的浪费对于现在的CPU来说都是毛毛雨,可以直接忽略!

题外话

在我一位同事的项目中,给我提供了jwt踢人下线的另一种实现思路:

那就是在生成jwt令牌时,加入一个固定的参数当做令牌生成因子,如果要将一个用户踢出下线,只需要修改一下这个因子的值,然后在拦截器里每次校验这个因子生成的令牌是否与客户端传递的令牌一致!即可判断出这个token是否已被拉黑!

这种模式提供了一个比较新颖的逻辑算法,但是严格来讲,还是借助服务器存储一定的数据完成的会话验证,仍然属于Session模式。在此暂不展开细讲。

代码实现方案?

说了这么多理论,总归是要上代码的,由于笔者除了sa-token框架以外没有找到任何一个框架对踢人下线有直接现成的解决方案,所以在此暂以sa-token框架为例

  1. 首先添加pom.xml依赖

<!-- sa-token 权限认证, 在线文档:http://sa-token.dev33.cn/ -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-spring-boot-starter</artifactId>
<version>1.12.1</version>
</dependency>
  1. 在用户登录时将账号id写入会话中

@RestController
@RequestMapping("user")
public class UserController {
@RequestMapping("doLogin")
public String doLogin(String username, String password) {
// 此处仅作示例模拟,真实项目需要从数据库中查询数据进行比对
if("zhang".equals(username) && "123456".equals(password)) {
StpUtil.setLoginId(10001);
return "登录成功";
}
return "登录失败";
}
}
  1. 将指定id的账号踢出在线

// 使指定id账号的会话注销登录,对方再次访问系统时会抛出`NotLoginException`异常,场景值为-5
@RequestMapping("kickout")
public String kickout(long userId) {
StpUtil.logoutByLoginId(userId);
return "踢出成功";
}

后话

文章写的再详细也难免会有遗漏之处,在此还求大家轻喷,可以在评论出留言指出不足之处

如果觉得文章写得不错还请大家不要吝惜为文章点个赞,您的支持是我更新的最大动力!

(0)

相关推荐

  • OAuth2、CAS单点登录

    一.Oauth 是一个关于授权(authorization)的开网络标准(规范) OAuth2: 解决的是不同的企业之间的登录,本质是授权,如论坛与QQ 要能访问各种资源重点是要获取令牌(token) ...

  • 实战:Express 模拟 CSRF 攻击

    CSRF攻击 是前端领域常见的安全问题,概念方面不再赘述,可以参考维基百科.对于这些概念,包括名词定义.攻击方式.解决方案等估计大家都看过不少,但留下印象总是很模糊,要动手操作一番才能加深印象并能真正 ...

  • Cookie、Session、Token 的区别

    首先我们来说一下认证(Authentication): 通俗的来说认证就是 验证当前用户的身份.例如,你上班打卡,为了防止你作弊,就需要你用到你的指纹来打卡,如果打卡系统里面的指纹和你的指纹匹配,那就 ...

  • 浅谈鸟版荷兰盾设计思路的微妙变化

    如果联合国教科文组织只给一个国家颁发"设计之都"荣誉称号的话,我想那么这个国家非荷兰莫属了.     2012年4月7日是笔者鸟版荷兰盾收藏的收官之战日,当100盾的沙锥送到手中, ...

  • 浅谈批断八字的思路与步骤

    对于初学命理的人而言,相关的基础知识已经非常熟悉了,只是拿到一个八字后,不知从何入手,因为所有的基础知识都是片段式的,要把所有的基础知识运用与实际案例上,也是有些难度的,今天,给大家谈谈分析八字的思路 ...

  • 浅谈大学校园规划设计三要素

    摘要:以笔者参与的三所大学校园的规划设计方案为案例,从'设计立意''功能分区''道路系统'三个方面来分别进行论述.设计立意即规划设计的指导思想与创意.'昆明医学院呈贡新校区'项目的规划设计立意源于&l ...

  • 中式风格客厅墙刷什么颜色好看?浅谈中式客厅墙设计

    客厅是我们除卧室外在家里待得最久的一个地方.客厅的风格设计展现了这个家庭对生活的品味.想要打造具有中式风格特色的客厅,墙面的颜色应该如何选择呢.中式风格客厅墙刷什么颜色好看?让我们一起来了解中式客厅墙 ...

  • 浅谈农庄的规划设计

    浅谈农庄的规划设计-休闲农业与乡 村旅游乡村旅游规划案例 如果你即将创办自己的农庄那就看看下面的休闲生态农庄应该具备的一些主要特征然后你计算一下你已经具备和能够达到哪几项. 1.观光 一是地理 ...

  • 思路编40:浅谈髌骨受限的治疗思路

    髌骨在股骨上滑行,就像我们的火车一样,它必需在股骨的髌轨迹上滑动,偏离了髌轨迹,就会影响我们膝关节的功能运动,产生膝关节各式各样的疼痛.当股二头肌损伤后,或因骨盆的偏移,出现股二头肌张力过大时,使小腿 ...

  • 浅谈架构现状:设计越来越复杂,行业缺乏系统性思考

    从之前单纯的高流量到现在高流量.高并发,企业面对的业务场景越来越多,对系统的各项要求也越来越高,这意味着对系统架构的要求也越来越高. 在过去很长的时间里,集中式单体架构是主流.单体架构设计难度小.响应 ...

  • 浅谈石墨化焦的归类思路及依据适用

    在协调制度中,石油焦(petroleum coke)列于品目27.13,该品目注释规定:"石油焦(绿焦或煅烧焦)是裂化或干馏石油或沥青矿物油所剩的一种黑色多孔固体残余物,主要用作制造电极的原 ...

  • 浅谈恒温恒湿空气处理过程设计

    浅谈恒温恒湿空气处理过程设计 引言 随着建筑功能性的增多,越来越多的项目需要维持室内环境的温湿度恒定,比如大型的数据网络机房.医院手术室等.在进行恒温恒湿空调系统设计时,不应只选用几台单元式恒温恒湿空 ...