1. 从Session到Token的技术演进背景在传统的Web应用开发中Session机制是最常见的用户认证方式。当用户首次登录时服务器会创建一个Session对象并将Session ID通过Cookie返回给客户端。之后的每次请求客户端都会携带这个Session ID服务器通过它来识别用户身份。这种方式简单直接但随着业务规模扩大和分布式架构的普及Session机制的局限性逐渐暴露。我曾在多个项目中遇到过这样的场景当用户量激增时单台服务器的Session存储很快成为性能瓶颈。更棘手的是在集群环境下Session共享问题会导致用户需要反复登录。有一次在电商大促期间由于Session同步延迟部分用户购物车数据丢失直接影响了转化率。相比之下基于Token的认证方案天然支持分布式架构。Token本质上是一串加密字符串包含了用户身份信息和有效期等数据。客户端获得Token后每次请求都携带它服务器只需验证Token有效性即可。这种无状态的设计让系统扩展变得轻松也避免了Session共享的烦恼。2. Session机制的工作原理与实战实现2.1 Session的底层运行机制当Tomcat接收到第一个请求时会创建一个唯一的Session ID并通过响应头的Set-Cookie字段返回给浏览器。关键代码实现如下PostMapping(/login) public Result login(RequestBody LoginFormDTO loginForm, HttpSession session){ // 验证手机号和验证码 String phone loginForm.getPhone(); if (RegexUtils.isPhoneInvalid(phone)) { return Result.fail(手机号格式错误); } // 验证通过后保存用户信息到Session User user userService.query().eq(phone, phone).one(); session.setAttribute(user, user); return Result.ok(); }在拦截器中我们可以通过request.getSession()获取当前Sessionpublic class LoginInterceptor implements HandlerInterceptor { Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { HttpSession session request.getSession(); Object user session.getAttribute(user); if(user null){ response.setStatus(401); return false; } UserHolder.saveUser((User)user); return true; } }2.2 Session方案的局限性分析在实际高并发场景下Session机制会面临几个典型问题内存占用问题每个活跃用户都会在服务器内存中保存一份Session数据当用户量达到10万级别时单机内存可能就需要10GB以上。集群同步难题虽然可以通过Tomcat的Session复制实现集群共享但实测发现当节点超过3个时同步延迟会明显增加。我曾测试过5节点集群Session同步耗时平均达到200ms。扩展性瓶颈新增服务器节点时Session数据无法自动迁移需要手动处理。在自动伸缩场景下这个问题尤为突出。3. 基于Redis的Token认证方案3.1 Token方案的核心设计Redis的引入完美解决了Session的痛点。我们设计的Token方案包含以下关键点Token生成使用UUID生成唯一令牌避免敏感信息泄露数据结构采用Hash结构存储用户信息便于部分更新过期机制设置合理的TTL兼顾安全性和用户体验具体实现代码如下Override public Result login(LoginFormDTO loginForm) { // 验证通过后生成Token String token UUID.randomUUID().toString(); // 转换用户对象为Map UserDTO userDTO BeanUtil.copyProperties(user, UserDTO.class); MapString, Object userMap BeanUtil.beanToMap(userDTO); // 存储到Redis String tokenKey LOGIN_USER_KEY token; stringRedisTemplate.opsForHash().putAll(tokenKey, userMap); stringRedisTemplate.expire(tokenKey, 30, TimeUnit.MINUTES); return Result.ok(token); }3.2 双拦截器实现方案为了优化Token的刷新机制我们设计了双层拦截器RefreshTokenInterceptor拦截所有请求负责Token刷新LoginInterceptor仅拦截需要登录的请求验证登录状态// 刷新Token拦截器 public class RefreshTokenInterceptor implements HandlerInterceptor { Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { String token request.getHeader(authorization); if (StrUtil.isNotBlank(token)) { String key LOGIN_USER_KEY token; MapObject, Object userMap stringRedisTemplate.opsForHash().entries(key); if (!userMap.isEmpty()) { UserDTO userDTO BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false); UserHolder.saveUser(userDTO); stringRedisTemplate.expire(key, 30, TimeUnit.MINUTES); } } return true; } } // 登录验证拦截器 public class LoginInterceptor implements HandlerInterceptor { Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { if (UserHolder.getUser() null) { response.setStatus(401); return false; } return true; } }4. 两种方案的性能对比与选型建议4.1 压测数据对比我们使用JMeter对两种方案进行了基准测试指标Session方案Redis Token方案单机QPS12003500平均响应时间45ms12ms内存占用高低集群扩展性差优秀4.2 方案选型建议根据实战经验我建议小型单体应用如果预计用户量在万级以下且不考虑分布式部署Session方案更简单直接。中大型分布式系统用户量超过10万或有横向扩展需求时Redis Token方案是必然选择。特别是对于需要支持APP、小程序等多端登录的场景Token方案的灵活性优势明显。超高并发场景可以进一步优化Redis方案比如使用Redis集群、本地缓存等多级缓存策略将QPS提升到万级以上。
【黑马点评】Redis实战:从Session到Token的登录验证演进
1. 从Session到Token的技术演进背景在传统的Web应用开发中Session机制是最常见的用户认证方式。当用户首次登录时服务器会创建一个Session对象并将Session ID通过Cookie返回给客户端。之后的每次请求客户端都会携带这个Session ID服务器通过它来识别用户身份。这种方式简单直接但随着业务规模扩大和分布式架构的普及Session机制的局限性逐渐暴露。我曾在多个项目中遇到过这样的场景当用户量激增时单台服务器的Session存储很快成为性能瓶颈。更棘手的是在集群环境下Session共享问题会导致用户需要反复登录。有一次在电商大促期间由于Session同步延迟部分用户购物车数据丢失直接影响了转化率。相比之下基于Token的认证方案天然支持分布式架构。Token本质上是一串加密字符串包含了用户身份信息和有效期等数据。客户端获得Token后每次请求都携带它服务器只需验证Token有效性即可。这种无状态的设计让系统扩展变得轻松也避免了Session共享的烦恼。2. Session机制的工作原理与实战实现2.1 Session的底层运行机制当Tomcat接收到第一个请求时会创建一个唯一的Session ID并通过响应头的Set-Cookie字段返回给浏览器。关键代码实现如下PostMapping(/login) public Result login(RequestBody LoginFormDTO loginForm, HttpSession session){ // 验证手机号和验证码 String phone loginForm.getPhone(); if (RegexUtils.isPhoneInvalid(phone)) { return Result.fail(手机号格式错误); } // 验证通过后保存用户信息到Session User user userService.query().eq(phone, phone).one(); session.setAttribute(user, user); return Result.ok(); }在拦截器中我们可以通过request.getSession()获取当前Sessionpublic class LoginInterceptor implements HandlerInterceptor { Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { HttpSession session request.getSession(); Object user session.getAttribute(user); if(user null){ response.setStatus(401); return false; } UserHolder.saveUser((User)user); return true; } }2.2 Session方案的局限性分析在实际高并发场景下Session机制会面临几个典型问题内存占用问题每个活跃用户都会在服务器内存中保存一份Session数据当用户量达到10万级别时单机内存可能就需要10GB以上。集群同步难题虽然可以通过Tomcat的Session复制实现集群共享但实测发现当节点超过3个时同步延迟会明显增加。我曾测试过5节点集群Session同步耗时平均达到200ms。扩展性瓶颈新增服务器节点时Session数据无法自动迁移需要手动处理。在自动伸缩场景下这个问题尤为突出。3. 基于Redis的Token认证方案3.1 Token方案的核心设计Redis的引入完美解决了Session的痛点。我们设计的Token方案包含以下关键点Token生成使用UUID生成唯一令牌避免敏感信息泄露数据结构采用Hash结构存储用户信息便于部分更新过期机制设置合理的TTL兼顾安全性和用户体验具体实现代码如下Override public Result login(LoginFormDTO loginForm) { // 验证通过后生成Token String token UUID.randomUUID().toString(); // 转换用户对象为Map UserDTO userDTO BeanUtil.copyProperties(user, UserDTO.class); MapString, Object userMap BeanUtil.beanToMap(userDTO); // 存储到Redis String tokenKey LOGIN_USER_KEY token; stringRedisTemplate.opsForHash().putAll(tokenKey, userMap); stringRedisTemplate.expire(tokenKey, 30, TimeUnit.MINUTES); return Result.ok(token); }3.2 双拦截器实现方案为了优化Token的刷新机制我们设计了双层拦截器RefreshTokenInterceptor拦截所有请求负责Token刷新LoginInterceptor仅拦截需要登录的请求验证登录状态// 刷新Token拦截器 public class RefreshTokenInterceptor implements HandlerInterceptor { Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { String token request.getHeader(authorization); if (StrUtil.isNotBlank(token)) { String key LOGIN_USER_KEY token; MapObject, Object userMap stringRedisTemplate.opsForHash().entries(key); if (!userMap.isEmpty()) { UserDTO userDTO BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false); UserHolder.saveUser(userDTO); stringRedisTemplate.expire(key, 30, TimeUnit.MINUTES); } } return true; } } // 登录验证拦截器 public class LoginInterceptor implements HandlerInterceptor { Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { if (UserHolder.getUser() null) { response.setStatus(401); return false; } return true; } }4. 两种方案的性能对比与选型建议4.1 压测数据对比我们使用JMeter对两种方案进行了基准测试指标Session方案Redis Token方案单机QPS12003500平均响应时间45ms12ms内存占用高低集群扩展性差优秀4.2 方案选型建议根据实战经验我建议小型单体应用如果预计用户量在万级以下且不考虑分布式部署Session方案更简单直接。中大型分布式系统用户量超过10万或有横向扩展需求时Redis Token方案是必然选择。特别是对于需要支持APP、小程序等多端登录的场景Token方案的灵活性优势明显。超高并发场景可以进一步优化Redis方案比如使用Redis集群、本地缓存等多级缓存策略将QPS提升到万级以上。
