该文详细介绍了使用Redis替代传统session进行短信验证码登录的过程,包括发送验证码、验证码校验、登录拦截器的实现,以及如何通过DTO隐藏敏感信息和使用Redis实现集群环境下的session共享,确保用户登录的安全性和效率。
黑马Redis实战项目——黑马点评笔记02 | 短信登录
基于session的登录业务流程
1 发送验证码
http请求形式:
点击我的,未登录会自动跳转到登录界面
这里虽然后端配置的端口时8081,但这里的请求仍然时8080,是因为前端使用nginx,反向代理,请求先发送到了nginx服务,然后反向代理再去请求tomcat服务器
@Service
@Slf4j
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements IUserService {
/**
* 发送验证码
* @param phone
* @param session
* @return
*/
@Override
public Result sendCode(String phone, HttpSession session) {
//1 校验手机号
if (RegexUtils.isPhoneInvalid(phone)) {
//2 如果不符合 返回错误信息
return Result.fail("手机号格式错误!");
}
//3 如果符合 生成验证码
String code = RandomUtil.randomNumbers(6);
//4 保存验证码到session
session.setAttribute("code", code);
//5 发送验证码
//可以调用第三方平台(阿里云)
log.debug("发送短信验证码成功,验证码:{}",code);
//返回
return Result.ok();
}
}
2 验证码登录
http请求形式:
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements IUserService {
/**
* 验证码登录
* @param loginForm
* @param session
* @return
*/
@Override
public Result login(LoginFormDTO loginForm, HttpSession session) {
//1 校验手机号
String phone = loginForm.getPhone();
if (RegexUtils.isPhoneInvalid(phone)) {
//不符合 返回错误信息
return Result.fail("手机号格式错误!");
}
//2 校验验证码
Object cacheCode = session.getAttribute("code");
String code = loginForm.getCode();
if(cacheCode==null || !cacheCode.toString().equals(code)){
//3 不一致,报错
return Result.fail("验证码错误");
}
//4 一致,根据手机号查询用户 select * from tb_user where phone = ?
// LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>();
// queryWrapper.eq(User::getPhone,phone);
// User user = this.getOne(queryWrapper);
User user = query().eq("phone", phone).one();
//5 判断用户是否存在
if(user==null){
//6 不存在,自动注册
user = createUserWithPhone(phone);
}
//7 保存用户信息到session中(登录)
session.setAttribute("user",user);
return Result.ok();
}
//使用号码自动注册用户
private User createUserWithPhone(String phone) {
//创建用户
User user = new User();
user.setPhone(phone);
user.setNickName(SystemConstants.USER_NICK_NAME_PREFIX+RandomUtil.randomString(10));
//保存用户
this.save(user);
return user;
}
}
3 登录校验拦截器
http请求形式:
实现思路:
4 退出登录(补充)
点击退出登录,清除ThreadLocal里存放的用户信息,这样前端发送的请求被拦截器拦截,而从ThreadLocal中获取的用户为null,强制跳转登录界面。
/**
* 登出功能
* @return 无
*/
@PostMapping("/logout")
public Result logout(){
// TODO 实现登出功能
//清除ThreadLocal里存放的用户信息
UserHolder.removeUser();
return Result.ok("退出");
// return Result.fail("功能未完成");
}
5 改进
5.1 隐藏敏感信息
在原本的拦截器中,将从数据库中查询到的用户信息全部存入ThreadLocal中,浪费内存且其中包含了用户密码等敏感信息,不安全。因此,使用 DTO(数据传输对象) 包装部分信息,既满足客户端访问时对用户信息的需求,又保证了数据的安全性。
//使用hutool提供的BeanUtil将user的部分信息封装为UserDTO
BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);
这里首先需要将登录时存入ThreadLocal的User改为userDTO
UserHolder相关的存取操作也要全部改为对userDTO的操作
有以下两处使用到UserHolder,也许将返回类型改为userDTO
此时用户端仅能接收到部分信息,保护了敏感数据的安全。
5.2 redis代替session
A 原因分析(集群的session共享问题)
B 基于 Redis 解决的流程
1、发送短信流程
2、短信验证码登录、注册流程
3、登录状态校验流程
用户登录时,前端会将服务端返回的 token 记录下来,每次发送请求的时候会将 token 放在请求头中一起发送,让后端能够根据token查询到用户状态。
C 基于 Redis 实现共享session登录
1、发送短信
使用 phone 作为redis中验证码的 key,保证了用户和验证码的一一对应,又便于登录时服务器端的校验(因为用户正好发送手机号和验证码来登录)。
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements IUserService {
@Resource//自动注入redis
private StringRedisTemplate stringRedisTemplate;
/**
* 发送验证码
*
* @param phone
* @param session
* @return
*/
@Override
public Result sendCode(String phone, HttpSession session) {
//1 校验手机号
if (RegexUtils.isPhoneInvalid(phone)) {
//2 如果不符合 返回错误信息
return Result.fail("手机号格式错误!");
}
//3 如果符合 生成验证码
String code = RandomUtil.randomNumbers(6);
//4 保存验证码到session
//session.setAttribute("code", code);
//4 保存验证码到redis,并设置有效期为两分钟
stringRedisTemplate.opsForValue().set(RedisConstants.LOGIN_CODE_KEY + phone, code,
RedisConstants.LOGIN_CODE_TTL, TimeUnit.MINUTES);
//5 发送验证码
//TODO: 可以调用第三方平台(阿里云)
log.debug("发送短信验证码成功,验证码:{}", code);
System.out.println("验证码:"+code);
//返回
return Result.ok();
}
}
2、短信验证码登录、注册
生成随机token作为登录令牌保证了token唯一对应一位用户(唯一性要求),同时将token返回客户端,满足客户携带并提取数据的需求。
这里注意存入redis时,为了保证 Long类型 的id数据能保存到 StringRedisTemplate中,要手动将其值转化为string(代码中使用Lamda表达式实现)。
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements IUserService {
@Resource//自动注入redis
private StringRedisTemplate stringRedisTemplate;
/**
* 验证码登录
*
* @param loginForm
* @param session
* @return
*/
@Override
public Result login(LoginFormDTO loginForm, HttpSession session) {
//1 校验手机号
String phone = loginForm.getPhone();
if (RegexUtils.isPhoneInvalid(phone)) {
//2 不符合 返回错误信息
return Result.fail("手机号格式错误!");
}
//3 从session获取并校验验证码
//Object cacheCode = session.getAttribute("code");
//3 从redis获取并校验验证码
String cacheCode = stringRedisTemplate.opsForValue().get(RedisConstants.LOGIN_CODE_KEY + phone);
String code = loginForm.getCode();
if (cacheCode == null || !cacheCode.toString().equals(code)) {
// 不一致,报错
return Result.fail("验证码错误");
}
//4 一致,根据手机号查询用户 select * from tb_user where phone = ?
User user = query().eq("phone", phone).one();
//5 判断用户是否存在
if (user == null) {
//6 不存在,自动注册
user = createUserWithPhone(phone);
}
//7 保存用户信息到session中(登录)(不应该存入完整信息,而是部分信息UserDTO)
//session.setAttribute("user", BeanUtil.copyProperties(user, UserDTO.class));
//7 保存用户信息到redis中(登录)(Hash类型存储用户,token为key)
//7.1 生成随机token作为登录令牌
String token = UUID.randomUUID().toString(true);
//7.2 将User对象转为Hash存储
UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
Map<String, Object> userMap = BeanUtil.beanToMap(userDTO, new HashMap<>(),
CopyOptions.create()
.setIgnoreNullValue(true)
.setFieldValueEditor((fieldName,fieldValue)->fieldValue.toString()));
//7.3 存储到redis
String tokenKey = RedisConstants.LOGIN_USER_KEY+token;
stringRedisTemplate.opsForHash().putAll(tokenKey,userMap);
stringRedisTemplate.expire(tokenKey,RedisConstants.LOGIN_USER_TTL,TimeUnit.MINUTES);
//8 返回token
return Result.ok(token);
}
}
3、登录状态校验
为了保证用户状态及时被刷新(即用户访问无需登录校验页面时,也刷新token保持其在线状态),使用两层拦截器。
第一个拦截器是刷新拦截器
public class RefreshTokenInterceptor implements HandlerInterceptor {
//这里是自定义的类,不能自动注入,要使用构造函数注入
// 由于拦截器再spring容器朱仕华前执行,本类也不能加入spring容器
private StringRedisTemplate stringRedisTemplate;
public RefreshTokenInterceptor(StringRedisTemplate stringRedisTemplate) {
this.stringRedisTemplate = stringRedisTemplate;
}
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//1 获取请求头中的token
String token = request.getHeader("authorization");
if (StrUtil.isBlank(token)) {
return true;
}
//2 基于token获取redis中的用户信息
String tokenKey = RedisConstants.LOGIN_USER_KEY + token;
Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(tokenKey);
//1 获取session
//HttpSession session = request.getSession();
//2 获取session中的用户信息
//Object user = session.getAttribute("user");
//3 判断用户是否存在
if (userMap.isEmpty()) {
return true;
}
//将查询后的数据(Hash)转为Dto对象
UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);
//5 存在,保存用户信息到ThreadLocal
//使用ThreadLocal可以减少对redis的访问次数并且线程隔离
UserHolder.saveUser(userDTO);
//刷新token有效期
stringRedisTemplate.expire(tokenKey, RedisConstants.LOGIN_USER_TTL, TimeUnit.MINUTES);
//6 放行
return true;
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
//移除用户,避免信息泄露
UserHolder.removeUser();
}
}
第二个拦截器是登录拦截器
public class LoginInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//判断是否需要拦截(ThreadLocal中是否有用户)
if(UserHolder.getUser()==null){
//没有 需要拦截 设置状态码
response.setStatus(401);
return false;
}
//有 放行
return true;
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
//移除用户,避免信息泄露
UserHolder.removeUser();
}
}
在配置类中添加新的拦截器
@Configuration
public class MvcConfig implements WebMvcConfigurer {
@Resource
private StringRedisTemplate stringRedisTemplate;
@Override
public void addInterceptors(InterceptorRegistry registry) {
//token 刷新拦截器
registry.addInterceptor(new RefreshTokenInterceptor(stringRedisTemplate))
.addPathPatterns("/**").order(0);
//登录拦截器
registry.addInterceptor(new LoginInterceptor())
.excludePathPatterns(
"/user/code",
"/user/login",
"/blog/hot",
"/shop/**",
"/shop-type/**",
"/upload/**",//测试用
"/voucher/**"
).order(1);
}
}
1051
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
