幂等性 SpringBoot Redis 注解 拦截器

一、概念

幂等性, 通俗的说就是一个接口, 多次发起同一个请求, 必须保证操作只能执行一次
比如:

  • 订单接口, 不能多次创建订单
  • 支付接口, 重复支付同一笔订单只能扣一次钱
  • 支付宝回调接口, 可能会多次回调, 必须处理重复回调
  • 普通表单提交接口, 因为网络超时等原因多次点击提交, 只能成功一次等等

    二、常见解决方案

  • 唯一索引 — 防止新增脏数据

  • token机制 — 防止页面重复提交
  • 悲观锁 — 获取数据的时候加锁(锁表或锁行)
  • 乐观锁 — 基于版本号version实现, 在更新数据那一刻校验数据
  • 分布式锁 — redis(jedis、redisson)或zookeeper实现
  • 状态机 — 状态变更, 更新数据时判断状态

    三、实现选择

    这里采用第2种方式实现, 即通过redis + token机制实现接口幂等性校验

    四、实现思路

    为需要保证幂等性的每一次请求创建一个唯一标识token, 先获取token, 并将此token存入redis, 请求接口时, 将此token放到header或者作为请求参数请求接口, 后端接口判断redis中是否存在此token:

  • 如果存在, 正常处理业务逻辑, 并从redis中删除此token, 那么, 如果是重复请求, 由于token已被删除, 则不能通过校验, 返回请勿重复操作提示

  • 如果不存在, 说明参数不合法或者是重复请求, 返回提示即可

    五、项目简介

  • springboot

  • redis
  • @ApiIdempotent注解 + 拦截器对请求进行拦截
  • @ControllerAdvice全局异常处理
  • 压测工具: jmeter

    六、代码实现

    pom依赖

    1. <!-- Redis-Jedis -->
    2. <dependency>
    3. <groupId>redis.clients</groupId>
    4. <artifactId>jedis</artifactId>
    5. <version>2.9.0</version>
    6. </dependency>
    7. <!--lombok 本文用到@Slf4j注解, 也可不引用, 自定义log即可-->
    8. <dependency>
    9. <groupId>org.projectlombok</groupId>
    10. <artifactId>lombok</artifactId>
    11. <version>1.16.10</version>
    12. </dependency>

    JedisUtil

    1. import lombok.extern.slf4j.Slf4j;
    2. import org.springframework.beans.factory.annotation.Autowired;
    3. import org.springframework.stereotype.Component;
    4. import redis.clients.jedis.Jedis;
    5. import redis.clients.jedis.JedisPool;
    6. @Component
    7. @Slf4j
    8. public class JedisUtil {
    9. @Autowired
    10. private JedisPool jedisPool;
    11. private Jedis getJedis() {
    12. return jedisPool.getResource();
    13. }
    14. /**
    15. * 设值
    16. *
    17. * @param key
    18. * @param value
    19. * @return
    20. */
    21. public String set(String key, String value) {
    22. Jedis jedis = null;
    23. try {
    24. jedis = getJedis();
    25. return jedis.set(key, value);
    26. } catch (Exception e) {
    27. log.error("set key:{} value:{} error", key, value, e);
    28. return null;
    29. } finally {
    30. close(jedis);
    31. }
    32. }
    33. /**
    34. * 设值
    35. *
    36. * @param key
    37. * @param value
    38. * @param expireTime 过期时间, 单位: s
    39. * @return
    40. */
    41. public String set(String key, String value, int expireTime) {
    42. Jedis jedis = null;
    43. try {
    44. jedis = getJedis();
    45. return jedis.setex(key, expireTime, value);
    46. } catch (Exception e) {
    47. log.error("set key:{} value:{} expireTime:{} error", key, value, expireTime, e);
    48. return null;
    49. } finally {
    50. close(jedis);
    51. }
    52. }
    53. /**
    54. * 取值
    55. *
    56. * @param key
    57. * @return
    58. */
    59. public String get(String key) {
    60. Jedis jedis = null;
    61. try {
    62. jedis = getJedis();
    63. return jedis.get(key);
    64. } catch (Exception e) {
    65. log.error("get key:{} error", key, e);
    66. return null;
    67. } finally {
    68. close(jedis);
    69. }
    70. }
    71. /**
    72. * 删除key
    73. *
    74. * @param key
    75. * @return
    76. */
    77. public Long del(String key) {
    78. Jedis jedis = null;
    79. try {
    80. jedis = getJedis();
    81. return jedis.del(key.getBytes());
    82. } catch (Exception e) {
    83. log.error("del key:{} error", key, e);
    84. return null;
    85. } finally {
    86. close(jedis);
    87. }
    88. }
    89. /**
    90. * 判断key是否存在
    91. *
    92. * @param key
    93. * @return
    94. */
    95. public Boolean exists(String key) {
    96. Jedis jedis = null;
    97. try {
    98. jedis = getJedis();
    99. return jedis.exists(key.getBytes());
    100. } catch (Exception e) {
    101. log.error("exists key:{} error", key, e);
    102. return null;
    103. } finally {
    104. close(jedis);
    105. }
    106. }
    107. /**
    108. * 设值key过期时间
    109. *
    110. * @param key
    111. * @param expireTime 过期时间, 单位: s
    112. * @return
    113. */
    114. public Long expire(String key, int expireTime) {
    115. Jedis jedis = null;
    116. try {
    117. jedis = getJedis();
    118. return jedis.expire(key.getBytes(), expireTime);
    119. } catch (Exception e) {
    120. log.error("expire key:{} error", key, e);
    121. return null;
    122. } finally {
    123. close(jedis);
    124. }
    125. }
    126. /**
    127. * 获取剩余时间
    128. *
    129. * @param key
    130. * @return
    131. */
    132. public Long ttl(String key) {
    133. Jedis jedis = null;
    134. try {
    135. jedis = getJedis();
    136. return jedis.ttl(key);
    137. } catch (Exception e) {
    138. log.error("ttl key:{} error", key, e);
    139. return null;
    140. } finally {
    141. close(jedis);
    142. }
    143. }
    144. private void close(Jedis jedis) {
    145. if (null != jedis) {
    146. jedis.close();
    147. }
    148. }
    149. }

    自定义注解@ApiIdempotent

    1. import java.lang.annotation.ElementType;
    2. import java.lang.annotation.Retention;
    3. import java.lang.annotation.RetentionPolicy;
    4. import java.lang.annotation.Target;
    5. /**
    6. * 在需要保证 接口幂等性 的Controller的方法上使用此注解
    7. */
    8. @Target({ElementType.METHOD})
    9. @Retention(RetentionPolicy.RUNTIME)
    10. public @interface ApiIdempotent {
    11. }

    ApiIdempotentInterceptor拦截器

    1. import com.wangzaiplus.test.annotation.ApiIdempotent;
    2. import com.wangzaiplus.test.service.TokenService;
    3. import org.springframework.beans.factory.annotation.Autowired;
    4. import org.springframework.web.method.HandlerMethod;
    5. import org.springframework.web.servlet.HandlerInterceptor;
    6. import org.springframework.web.servlet.ModelAndView;
    7. import javax.servlet.http.HttpServletRequest;
    8. import javax.servlet.http.HttpServletResponse;
    9. import java.lang.reflect.Method;
    10. /**
    11. * 接口幂等性拦截器
    12. */
    13. public class ApiIdempotentInterceptor implements HandlerInterceptor {
    14. @Autowired
    15. private TokenService tokenService;
    16. @Override
    17. public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
    18. if (!(handler instanceof HandlerMethod)) {
    19. return true;
    20. }
    21. HandlerMethod handlerMethod = (HandlerMethod) handler;
    22. Method method = handlerMethod.getMethod();
    23. ApiIdempotent methodAnnotation = method.getAnnotation(ApiIdempotent.class);
    24. if (methodAnnotation != null) {
    25. check(request);// 幂等性校验, 校验通过则放行, 校验失败则抛出异常, 并通过统一异常处理返回友好提示
    26. }
    27. return true;
    28. }
    29. private void check(HttpServletRequest request) {
    30. tokenService.checkToken(request);
    31. }
    32. @Override
    33. public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
    34. }
    35. @Override
    36. public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
    37. }
    38. }

    TokenServiceImpl

    1. import com.wangzaiplus.test.common.Constant;
    2. import com.wangzaiplus.test.common.ResponseCode;
    3. import com.wangzaiplus.test.common.ServerResponse;
    4. import com.wangzaiplus.test.exception.ServiceException;
    5. import com.wangzaiplus.test.service.TokenService;
    6. import com.wangzaiplus.test.util.JedisUtil;
    7. import com.wangzaiplus.test.util.RandomUtil;
    8. import lombok.extern.slf4j.Slf4j;
    9. import org.apache.commons.lang3.StringUtils;
    10. import org.apache.commons.lang3.text.StrBuilder;
    11. import org.springframework.beans.factory.annotation.Autowired;
    12. import org.springframework.stereotype.Service;
    13. import javax.servlet.http.HttpServletRequest;
    14. @Service
    15. public class TokenServiceImpl implements TokenService {
    16. private static final String TOKEN_NAME = "token";
    17. @Autowired
    18. private JedisUtil jedisUtil;
    19. @Override
    20. public ServerResponse createToken() {
    21. String str = RandomUtil.UUID32();
    22. StrBuilder token = new StrBuilder();
    23. token.append(Constant.Redis.TOKEN_PREFIX).append(str);
    24. jedisUtil.set(token.toString(), token.toString(), Constant.Redis.EXPIRE_TIME_MINUTE);
    25. return ServerResponse.success(token.toString());
    26. }
    27. @Override
    28. public void checkToken(HttpServletRequest request) {
    29. String token = request.getHeader(TOKEN_NAME);
    30. if (StringUtils.isBlank(token)) {// header中不存在token
    31. token = request.getParameter(TOKEN_NAME);
    32. if (StringUtils.isBlank(token)) {// parameter中也不存在token
    33. throw new ServiceException(ResponseCode.ILLEGAL_ARGUMENT.getMsg());
    34. }
    35. }
    36. if (!jedisUtil.exists(token)) {
    37. throw new ServiceException(ResponseCode.REPETITIVE_OPERATION.getMsg());
    38. }
    39. Long del = jedisUtil.del(token);
    40. if (del <= 0) {
    41. throw new ServiceException(ResponseCode.REPETITIVE_OPERATION.getMsg());
    42. }
    43. }
    44. }

    TestApplication

    1. import com.wangzaiplus.test.interceptor.ApiIdempotentInterceptor;
    2. import org.mybatis.spring.annotation.MapperScan;
    3. import org.springframework.boot.SpringApplication;
    4. import org.springframework.boot.autoconfigure.SpringBootApplication;
    5. import org.springframework.context.annotation.Bean;
    6. import org.springframework.web.cors.CorsConfiguration;
    7. import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
    8. import org.springframework.web.filter.CorsFilter;
    9. import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
    10. import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;
    11. @SpringBootApplication
    12. @MapperScan("com.wangzaiplus.test.mapper")
    13. public class TestApplication extends WebMvcConfigurerAdapter {
    14. public static void main(String[] args) {
    15. SpringApplication.run(TestApplication.class, args);
    16. }
    17. /**
    18. * 跨域
    19. * @return
    20. */
    21. @Bean
    22. public CorsFilter corsFilter() {
    23. final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
    24. final CorsConfiguration corsConfiguration = new CorsConfiguration();
    25. corsConfiguration.setAllowCredentials(true);
    26. corsConfiguration.addAllowedOrigin("*");
    27. corsConfiguration.addAllowedHeader("*");
    28. corsConfiguration.addAllowedMethod("*");
    29. urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
    30. return new CorsFilter(urlBasedCorsConfigurationSource);
    31. }
    32. @Override
    33. public void addInterceptors(InterceptorRegistry registry) {
    34. // 接口幂等性拦截器
    35. registry.addInterceptor(apiIdempotentInterceptor());
    36. super.addInterceptors(registry);
    37. }
    38. @Bean
    39. public ApiIdempotentInterceptor apiIdempotentInterceptor() {
    40. return new ApiIdempotentInterceptor();
    41. }
    42. }

    七、测试验证

    1、获取token的控制器TokenController

    1. import com.wangzaiplus.test.common.ServerResponse;
    2. import com.wangzaiplus.test.service.TokenService;
    3. import org.springframework.beans.factory.annotation.Autowired;
    4. import org.springframework.web.bind.annotation.GetMapping;
    5. import org.springframework.web.bind.annotation.RequestMapping;
    6. import org.springframework.web.bind.annotation.RestController;
    7. @RestController
    8. @RequestMapping("/token")
    9. public class TokenController {
    10. @Autowired
    11. private TokenService tokenService;
    12. @GetMapping
    13. public ServerResponse token() {
    14. return tokenService.createToken();
    15. }
    16. }

    2、TestController

    :::danger 注意@ApiIdempotent注解, 在需要幂等性校验的方法上声明此注解即可, 不需要校验的无影响 :::
    1. import com.wangzaiplus.test.annotation.ApiIdempotent;
    2. import com.wangzaiplus.test.common.ServerResponse;
    3. import com.wangzaiplus.test.service.TestService;
    4. import lombok.extern.slf4j.Slf4j;
    5. import org.springframework.beans.factory.annotation.Autowired;
    6. import org.springframework.web.bind.annotation.PostMapping;
    7. import org.springframework.web.bind.annotation.RequestMapping;
    8. import org.springframework.web.bind.annotation.RestController;
    9. @RestController
    10. @RequestMapping("/test")
    11. @Slf4j
    12. public class TestController {
    13. @Autowired
    14. private TestService testService;
    15. @ApiIdempotent
    16. @PostMapping("testIdempotence")
    17. public ServerResponse testIdempotence() {
    18. return testService.testIdempotence();
    19. }
    20. }

    3、获取token

    1. GET http://localhost:8080/token
    返回结果
    1. {
    2. "status": 0,
    3. "msg": "token:gQi6iFJleuJ3J7MF55yoY7el",
    4. "data": null
    5. }
    查看redis保存的Token

    4、测试接口安全性

    利用jmeter测试工具模拟50个并发请求, 将上一步获取到的token作为参数

    5、header或参数均不传token, 或者token值为空, 或者token值乱填, 均无法通过校验, 如token值为”abcd”

    八、注意点(非常重要)

    image.png
    不能单纯的直接删除token而不校验是否删除成功, 会出现并发安全性问题, 因为, 有可能多个线程同时走到第46行, 此时token还未被删除, 所以继续往下执行, 如果不校验jedisUtil.del(token)的删除结果而直接放行, 那么还是会出现重复提交问题, 即使实际上只有一次真正的删除操作, 下面重现一下
    稍微修改一下代码:
    image.png
    再次请求, 再看看控制台。虽然只有一个真正删除掉token, 但由于没有对删除结果进行校验, 所以还是有并发问题, 因此, 必须校验

    九、总结

    其实思路很简单, 就是每次请求保证唯一性, 从而保证幂等性, 通过拦截器+注解, 就不用每次请求都写重复代码, 其实也可以利用spring aop实现。