分布式系统登录功能拦截器的实现以及cookie的共享问题（利用cookie实现session在分布式系统的共享）

当我们的网站采用分布式部署系统时，每个子系统拥有自己独立的session，如果不实现session共享，当用户切换系统访问的时候，会不停的提示登录，这对于用户体验是非常不好的。因此对于多个子系统的的访问，为了达到用户登录一次即可以访问其他各个子系统，我们采用了sso单点登录系统。之前文章介绍了单点登录系统的实现功能1，现在我们来看下当访问子系统时如何拦截用户，当用户的session过期了，如何提示用户登录，这里采用了SpringMVC的拦截器的实现。

（1）当登录页面时，用户登录成功后，在页面的首页可以显示：某某，欢迎您访问此网站。这时候我们是将之前生成的用户的token值写入Cookie中，因为只要浏览器没关，cookie就存在，当不设置cookie的过期时间时，浏览器关闭，cookie就消逝。将token的内容写入cookie，然后我们利用jsonp访问sso系统的利用token读取用户信息。然后显示在页面即可。

　　另外这里还用到一个技术：就是分布式系统的cookie的共享问题。这个将cookie的属性domain设置成全局共享即可。即不同的子系统的域名是不同的，sso.taotao.com;search.taotao.com;我们需要将其域名设置为**.taotao.com，这样可以实现cookie的共享。

具体实现如下：

if (null != request) {// 设置域名的cookie
String domainName = getDomainName(request);
System.out.println(domainName);
if (!"localhost".equals(domainName)) {
cookie.setDomain(domainName);
}
}
cookie.setPath("/");
response.addCookie(cookie);
} catch (Exception e) {
e.printStackTrace();
}
}

/**
* 得到cookie的域名
*/
private static final String getDomainName(HttpServletRequest request) {
String domainName = null;

String serverName = request.getRequestURL().toString();
if (serverName == null || serverName.equals("")) {
domainName = "";
} else {
serverName = serverName.toLowerCase();
serverName = serverName.substring(7);
final int end = serverName.indexOf("/");
serverName = serverName.substring(0, end);
final String[] domains = serverName.split("\\.");
int len = domains.length;
if (len > 3) {
// www.xxx.com.cn
domainName = "." + domains[len - 3] + "." + domains[len - 2] + "." + domains[len - 1];
} else if (len <= 3 && len > 1) {
// xxx.com or xxx.cn
domainName = "." + domains[len - 2] + "." + domains[len - 1];
} else {
domainName = serverName;
}
}

if (domainName != null && domainName.indexOf(":") > 0) {
String[] ary = domainName.split("\\:");
domainName = ary[0];
}
return domainName;
}

　　（2）当用户访问订单系统的时候，如果用户没有登录，这时候需要拦截用户提示用户登录此系统。这时候用了拦截器的作用。

package com.taotao.portal.interceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import com.taotao.common.utils.CookieUtils;
import com.taotao.pojo.TbUser;
import com.taotao.portal.service.impl.UserServiceImpl;

public class LoginInterceptor implements HandlerInterceptor {
@Autowired
private UserServiceImpl userService;

//执行之前拦截
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
throws Exception {
/* handler执行之前拦截，根据true或者false来判断是否拦截。
浏览器没关，这个cookie就存在，也就说token在里面，至于token的session是否有效，这个需要再判断。
当用户登录子系统时，需要提示用户进行登录，这是好用到拦截器，拦截这个页面，原理的具体实现是这样的
第一步：当用户访问页面时，判断cookie中是否有该用户的token。即先从cookie中获取token对象。
* 第二步：根据token查询用户是否存在，调用sso的从token中查询用户的接口来查询用户（这个过程是先从redis中检查token是否过期，如果过期则没有用户，需要登录，如果没有过期，则表示存在用户，因为之前用户信息写入了redis）
*通过查询用户，如果用户存在，则放行，如果不存在，则进行拦截，则跳转到sso的登录系统，提示登录
*/
String token = CookieUtils.getCookieValue(request,"TT_TOKEN");
//根据token来获取用户的信息，调用sso接口
TbUser user= userService.getBySSO(token);
//判断用户是否存在
if (user==null) {
//如果用户为空，则拦截到登录界面,页面重定向到的登录页面
response.sendRedirect(userService.SSO_BASE_URL+userService.SSO_PAGE_LOGIN+"?redirect="+request.getRequestURL());
//response.sendRedirect(userService.SSO_BASE_URL + userService.SSO_PAGE_LOGIN 	+ "?redirect=" + request.getRequestURL());
return false;
}

return true;
}
//之后拦截
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
ModelAndView modelAndView) throws Exception {
//  handler执行之后拦截

}

@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
throws Exception {
// TODO Auto-generated method stub

}

}

　　调用sso根据token获取用户信息

package com.taotao.portal.service.impl;

import org.springframework.beans.factory.annotation.Value;

import com.taotao.common.utils.HttpClientUtil;
import com.taotao.common.utils.JsonUtils;
import com.taotao.common.utils.TaotaoResult;
import com.taotao.pojo.TbUser;
import com.taotao.portal.service.UserService;
//通过token来获取用户信息，需要调用sso的接口信息
public class UserServiceImpl implements UserService {
@Value("${SSO_BASE_URL}")
public String SSO_BASE_URL;
@Value("${SSO_TOKEN_URL}")
public String SSO_TOKEN_URL;
@Value("${SSO_PAGE_LOGIN}")
public String 	SSO_PAGE_LOGIN;

//这是根据token获取用户信息

@Override
public TbUser getBySSO(String token) {
//不同子系统之间的访问，跨域访问，利用httpclient来实现
String json = HttpClientUtil.doGet(SSO_BASE_URL+SSO_TOKEN_URL+token);
TaotaoResult result=TaotaoResult.formatToPojo(json, TbUser.class);
if (result!=null) {
TbUser user=(TbUser) result.getData();
return user;
}
return null;
}

}

　　最后不要忘了重要的一步：在springMVC中配置拦截器。这个配置就关系到到了哪个功能模块，使用拦截器，比如我们提交订单的时候，如果用户没有登录，则此处增加拦截器。因为拦截器是在我们商城的大的一个客户端，淘淘商城中相当于taotao-portal中，当我们写好了订单服务的接口时，url是order/***,用httpclientUtil来调用订单服务的接口，此时我们在springMVC.xml配置文件中，设置拦截order，如果提交订单时如果没有登录就会跳转到登录窗口。

只需要将这里的


在springMVC中配置拦截器：