在使用spring全家桶、Shiro鉴权框架、redis和mysql8构建的系统中,出现了一个棘手的问题:用户AccessToken出现混淆,导致用户A登录后却获取到用户B的信息。这种现象在清除缓存后仍然频繁发生,几乎是百分百复现,严重影响用户体验。本文将针对这个问题,分析可能原因并提供解决方案。
问题描述中,开发者已经排除了redis缓存中token重复和同一token被不同用户使用的可能性。 uuid作为token生成方式,在百万级用户规模下发生碰撞的概率极低。
问题关键在于:为什么用户A能够获取到用户B的用户信息?这说明系统在某个环节将用户身份信息与accessToken绑定出现了错误。 开发者怀疑Shiro框架未启用accessToken和refreshToken机制,这可能与问题有关,但并非直接原因。 accessToken和refreshToken机制主要用于实现token的续期和刷新,虽然能增强安全性,但并不能直接解决token混淆的问题。 真正的根源在于token生成和存储的逻辑。
因此,问题的核心在于:如何确保每个用户都拥有唯一的、与自身身份信息正确绑定的accessToken?
答案中给出的解决方案直击要害:在生成并保存token之前,必须进行验证,判断该token是否已存在且已被其他用户使用。如果检测到冲突,则需要重新生成一个token,直到生成一个独一无二的token为止。 这需要对token生成和存储的逻辑进行修改,在保存token之前增加一个校验步骤。 这个校验步骤可以查询数据库或Redis,确保新生成的token没有被其他用户使用。 只有通过了这个校验,才能将token与用户信息绑定并存储。 通过这种方式,可以有效防止accessToken混淆的问题。
