1、什么是接口的幂等性
在HTTP/1.1中,对幂等性进行了定义:一次和多次请求某一个资源对于资源本身应该具有同样的结果(网络超时等问题除外),即第一次请求的时候对资源产生了副作用,但是以后的多次请求都不会再对资源产生副作用。
简单来说:其任意多次执行对资源本身所产生的影响均与一次执行的影响相同。
2、为什么需要实现接口的幂等性
在接口调用时一般情况下都能正常返回信息不会重复提交,不过在遇见以下情况时可以就会出现问题,如:
- 前端重复提交表单: 在填写一些表格时候,用户填写完成提交,很多时候会因网络波动没有及时对用户做出提交成功响应,致使用户认为没有成功提交,然后一直点提交按钮,这时就会发生重复提交表单请求。
- 用户恶意进行刷单: 例如在实现用户投票这种功能时,如果用户针对一个用户进行重复提交投票,这样会导致接口接收到用户重复提交的投票信息,这样会使投票结果与事实严重不符。
- 接口超时重复提交: 很多时候 HTTP 客户端工具都默认开启超时重试的机制,尤其是第三方调用接口时候,为了防止网络波动超时等造成的请求失败,都会添加重试机制,导致一个请求提交多次。
- 消息进行重复消费: 当使用 MQ 消息中间件时候,如果发生消息中间件出现错误未及时提交消费信息,导致发生重复消费。
使用幂等性最大的优势在于使接口保证任何幂等性操作,免去因重试等造成系统产生的未知的问题。
3、如何实现接口的幂等性
方案:防重 Token 令牌
方案描述:
针对客户端连续点击或者调用方的超时重试等情况,例如:提交订单,此种操作就可以用 Token 的机制实现防止重复提交。
简单的说:调用方在调用接口的时候先向后端请求一个全局 ID(Token),请求的时候携带这个全局 ID 一起请求(Token 最好将其放到 Headers 中),后端需要对这个 Token 作为 Key,用户信息作为 Value 到 Redis 中进行键值内容校验,如果 Key 存在且 Value 匹配就执行删除命令,然后正常执行后面的业务逻辑。如果不存在对应的 Key 或 Value 不匹配就返回重复执行的错误信息,这样来保证幂等操作。
适用操作:
- 插入操作
- 更新操作
- 删除操作
主要流程:
-
① 服务端提供获取 Token 的接口,该 Token 可以是一个序列号,也可以是一个分布式 ID 或者 UUID 串。
-
② 客户端调用接口获取 Token,这时候服务端会生成一个 Token 串。
-
③ 然后将该串存入 Redis 数据库中,以该 Token 作为 Redis 的键(注意设置过期时间)。
-
④ 将 Token 返回到客户端,客户端拿到后应存到表单隐藏域中。
-
⑤ 客户端在执行提交表单时,把 Token 存入到 Headers 中,执行业务请求带上该 Headers。
-
⑥ 服务端接收到请求后从 Headers 中拿到 Token,然后根据 Token 到 Redis 中查找该 key 是否存在。
-
⑦ 服务端根据 Redis 中是否存该 key 进行判断,如果存在就将该 key 删除,然后正常执行业务逻辑。如果不存在就抛异常,返回重复提交的错误信息。
实例:防重 Token 令牌
创建一个 SpringBoot 工程,引入 redis 依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
Token 工具类:
@Slf4j
@Component
public class TokenUtil {
@Autowired
private StringRedisTemplate redisTemplate;
/**
* 存入 Redis 的 Token 键的前缀
*/
private static final String REPEAT_TOKEN_PREFIX = "repeat_token:";
public String createToken(String value) {
// 实例化生成 ID 工具对象
String token = UUID.randomUUID().toString();
// 设置存入 Redis 的 Key
String key = REPEAT_TOKEN_PREFIX + token;
// 存储 Token 到 Redis,且设置过期时间为5分钟
redisTemplate.opsForValue().set(key, value, 5, TimeUnit.MINUTES);
// 返回 Token
return token;
}
public boolean validToken(String token, String value) {
// 设置 Lua 脚本,其中 KEYS[1] 是 key,KEYS[2] 是 value
String script = "if redis.call('get', KEYS[1]) == KEYS[2] then return redis.call('del', KEYS[1]) else return 0 end";
RedisScript<Long> redisScript = new DefaultRedisScript<>(script, Long.class);
// 根据 Key 前缀拼接 Key
String key = REPEAT_TOKEN_PREFIX + token;
// 执行 Lua 脚本
Long result = redisTemplate.execute(redisScript, Arrays.asList(key, value));
// 根据返回结果判断是否成功成功匹配并删除 Redis 键值对,如果结果不为空和0,则验证通过
if (result != null && result != 0L) {
log.info("验证 token={},key={},value={} 成功", token, key, value);
return true;
}
log.info("验证 token={},key={},value={} 失败", token, key, value);
return false;
}
}
Token 控制器:
@RestController
public class TokenController {
@Autowired
private TokenUtil tokenUtil;
@GetMapping("/getToken")
public String getToken(String userId) {
return tokenUtil.createToken(userId);
}
@GetMapping("/test")
public String test(@RequestHeader("token") String token, String userId) {
boolean result = tokenUtil.validToken(token, userId);
if (result) {
// TODO 进行业务处理
return "正常调用";
}
return "重复调用";
}
}
Postman 测试
先获取 token
再进行接口调用
4、优化
假如,一个工程中有 10 个接口需要进行实践的幂等性校验,那么这块代码
boolean result = tokenUtil.validToken(token, userId);
if (result) {
// TODO 进行业务处理
return "正常调用";
}
是不是得写 10 次呢???显然违背了 DRY 原则。
解决方案:自定义注解 + AOP