使用缓存保存验证码进行登录校验

于 2025-01-21 10:33:14 发布
阅读量789 收藏 8
点赞数 16
分类专栏: JavaWeb后端开发技术栈 高并发处理 文章标签: 缓存 后端 redis springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79840586/article/details/145276522
版权

在Spring Boot项目中使用Redis进行登录校验,一般的做法是将用户的登录状态(例如,JWT令牌或者用户信息)存储在Redis中,并在后续请求中进行校验。

我们需要建立两个拦截器:RefreshTokenInterceptor + LoginInterceptor,它们分别拦截全部路径和拦截需要登录的路径:

首先我们需要将这个token从前端进行获取,随后在Redis缓存中查询是否有该用户的token,如果没有就会返回401,如果查到该用户的token则进行获取数据,将用户信息保存在ThreadLocal线程空间内。

为什么要设置两个拦截器?

因为有的部分功能模块是不需要进行拦截处理,所以我们将所有模块都需要处理的步骤提取并加入新的拦截器,随后用登录校验的拦截器进行判断是否拦截,只有线程空间拥有值的情况,才能证明是有效用户,因为在全部拦截的拦截器,只有满足:

1.前端有token返回       2.redis内有用户信息

才能在线程空间存储数据。

首先创建拦截一切的 RefreshTokenInterceptor 拦截器:

import cn.hutool.core.bean.BeanUtil;
import cn.hutool.core.util.StrUtil;
import com.hmdp.dto.UserDTO;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Map;
import java.util.concurrent.TimeUnit;

@Component
public class RefreshTokenInterceptor implements HandlerInterceptor {

    @Resource
    private StringRedisTemplate stringRedisTemplate;

//    // 手动注入:如果不加入@Component,那么需要在MvcConfig进行注入StringRedisTemplate,然后在new RefreshTokenInterceptor()的括号内加入stringRedisTemplate
//    public RefreshTokenInterceptor(StringRedisTemplate stringRedisTemplate) {
//        this.stringRedisTemplate = stringRedisTemplate;
//    }

//    @Override
//    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//        // 获取session
//        HttpSession session = request.getSession();
//        // 获取sesstion用户
//        Object user = session.getAttribute("user");
//        if (user == null) {
//            response.setStatus(401);
//            return false;
//        }
//        UserHolder.saveUser((UserDTO)user);
//        return true;
//    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("authorization");
        // 判断token是否为空
        if(StrUtil.isBlank(token)){
            return true;
        }
        // 通过token获取redis缓存中的用户信息(判断token是否有效)
        Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries("login:token:" + token);
        // 判断用户是否存在
        if(userMap.isEmpty()){
            return true;
        }
        UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap,new UserDTO(),false);
        UserHolder.saveUser(userDTO);
        // 刷新有效时间(为了不让用户正在使用但是出现token过期的情况,即使刷新token有效期)
        stringRedisTemplate.expire("login:token:" + token,30, TimeUnit.MINUTES);
        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // 销毁用户信息
        UserHolder.removeUser();
    }

}

从上面代码中我们可以看出,在该拦截器是不会直接拦截处理,而是全部放行。

那么线程空间如何创建的呢?

public class UserHolder {
    private static final ThreadLocal<UserDTO> tl = new ThreadLocal<>();

    public static void saveUser(UserDTO user){
        tl.set(user);
    }

    public static UserDTO getUser(){
        return tl.get();
    }

    public static void removeUser(){
        tl.remove();
    }
}

那我们怎么知道的token是合法的?

因为在UserController中,在登录成功后我们将token作为key,将用户信息作为value,使用hash进行存储数据,这样通过判断缓存中是否有token就可以判断该用户是否合法:

// 生成token,将user内的属性拷贝到userDTO以此存入redis
String token = UUID.randomUUID().toString();
UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
// 将对象变成map进行存储,因为Redis的类型都需要是String,所以需要将内部的值转换成String类型
Map<String,Object> map = BeanUtil.beanToMap(userDTO,new HashMap<>(),
       CopyOptions.create().setIgnoreNullValue(true)
              .setFieldValueEditor((fieldName,fieldValue) -> fieldValue.toString()));
stringRedisTemplate.opsForHash().putAll("login:token:" + token,map);
// 设置token有效期
stringRedisTemplate.expire("login:token:" + token,30, TimeUnit.MINUTES);

随后创建登录拦截器 LoginInterceptor :

import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class LoginInterceptor implements HandlerInterceptor {

    @Resource
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 判断是否需要拦截(ThreadLocal中是否有用户)
        if(UserHolder.getUser() == null){
            // 没有,需要拦截
            response.setStatus(401);
            return false;
        }
        // 有用户
        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // 销毁用户信息
        UserHolder.removeUser();
    }
}

只有token有值且合法的情况才会通过此拦截器,所以这样就能够通过两个拦截器来有效处理用户正在使用但token过期后跳转问题。

既然我们已经创建成功两个拦截器,接下来就需要注册拦截器,在 /config/MvcConfig 文件中创建:

import com.hmdp.utils.LoginInterceptor;
import com.hmdp.utils.RefreshTokenInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class MvcConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 登录拦截器
        registry.addInterceptor(new LoginInterceptor())
                .excludePathPatterns(
                        "/user/login","/user/code",
                        "/blog/hot",
                        "/shop/**",
                        "/shop-type/**",
                        "/voucher/**",
                        "/upload/**"
                ).order(1); // 值越大的越后执行
        // token刷新的拦截器
        registry.addInterceptor(new RefreshTokenInterceptor()).addPathPatterns("/**").order(0);// 拦截所有请求
    }
}

通过配置权值来决定拦截的先后顺序,在order()内进行写入,权值越大越后执行。

随后我们就要解决短信验证码这个问题了 ->

在UserController中创建两个方法分别对验证码以及登录校验进行处理

@Slf4j
@RestController
@RequestMapping("/user")
public class UserController {

    @Resource
    private IUserService userService;

    /**
     * 发送手机验证码
     */
    @PostMapping("code")
    public Result sendCode(@RequestParam("phone") String phone, HttpSession session) {
        // 发送短信验证码并保存验证码
        return userService.sendCode(phone,session);
    }

    /**
     * 登录功能
     * @param loginForm 登录参数,包含手机号、验证码;或者手机号、密码
     */
    @PostMapping("/login")
    public Result login(@RequestBody LoginFormDTO loginForm, HttpSession session){
        // 实现登录功能
        return userService.login(loginForm,session);
    }
}

在以前,我们对于token存储问题都会使用session,而现在缓存是有利于存储且获取的一种手段,我们可以将token存储至缓存,随后在拦截器中通过查找是否有 key = token 的数据来判断token是否有效 ->

首先将验证码生成并保存在缓冲中,使用phone作为key来记录,以此保证唯一:

@Slf4j
@Service
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements IUserService {

    @Resource
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public Result sendCode(String phone, HttpSession session) {
        if(RegexUtils.isPhoneInvalid(phone)){
            return Result.fail("手机号格式错误");
        }
        // 生成验证码
        String code = RandomUtil.randomNumbers(6);

//        // 保存验证码到sesson
//        session.setAttribute("code", code);
        // 保存验证码到Redis
        stringRedisTemplate.opsForValue().set("login:code:" + phone,code,2, TimeUnit.MINUTES);

        // 发送验证码(模拟步骤)
        log.debug("发送短信验证码成功,验证码:{}",code);

        return Result.ok();
    }
}

这里设置有效期为两分钟,接下来我们的登录校验方法就可以通过在缓存中获取验证码来进行校验:

@Slf4j
@Service
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements IUserService {

    @Resource
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public Result login(LoginFormDTO loginForm, HttpSession session) {
        String phone = loginForm.getPhone();
        if(RegexUtils.isPhoneInvalid(phone)){
            return Result.fail("手机号格式错误");
        }
//        Object cacheCode = session.getAttribute("code");
        // 从Redis获取验证码来进行校验
        String cacheCode = stringRedisTemplate.opsForValue().get("login:code:" + phone);
        String code = loginForm.getCode();
        if(cacheCode == null || !cacheCode.equals(code)){
            return Result.fail("验证码错误");
        }
        // 一致,则根据手机号查询用户 select * from tb_user where phone = ?
        User user = query().eq("phone", phone).one();
        if(user == null){
            user = createUserWithPhone(phone);
        }
//        // 将user内的属性拷贝到userDTO以此存入session
//        session.setAttribute("user", BeanUtil.copyProperties(user, UserDTO.class));
        // 生成token,将user内的属性拷贝到userDTO以此存入redis
        String token = UUID.randomUUID().toString();
        UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
        // 将对象变成map进行存储,因为Redis的类型都需要是String,所以需要将内部的值转换成String类型
        Map<String,Object> map = BeanUtil.beanToMap(userDTO,new HashMap<>(),
                CopyOptions.create().setIgnoreNullValue(true)
                        .setFieldValueEditor((fieldName,fieldValue) -> fieldValue.toString()));
        stringRedisTemplate.opsForHash().putAll("login:token:" + token,map);
        // 设置token有效期
        stringRedisTemplate.expire("login:token:" + token,30, TimeUnit.MINUTES);
        return Result.ok(token);
    }

    private User createUserWithPhone(String phone) {
        User user = new User();
        user.setPhone(phone);
        user.setNickName("user_" + RandomUtil.randomString(10)); // 随机昵称
        // 保存用户
        save(user);
        return user;
    }
}

这里校验手机号的格式使用的工具类:

public abstract class RegexPatterns {
    /**
     * 手机号正则
     */
    public static final String PHONE_REGEX = "^1([38][0-9]|4[579]|5[0-3,5-9]|6[6]|7[0135678]|9[89])\\d{8}$";
    /**
     * 邮箱正则
     */
    public static final String EMAIL_REGEX = "^[a-zA-Z0-9_-]+@[a-zA-Z0-9_-]+(\\.[a-zA-Z0-9_-]+)+$";
    /**
     * 密码正则。4~32位的字母、数字、下划线
     */
    public static final String PASSWORD_REGEX = "^\\w{4,32}$";
    /**
     * 验证码正则, 6位数字或字母
     */
    public static final String VERIFY_CODE_REGEX = "^[a-zA-Z\\d]{6}$";

}

public class RegexUtils {
    /**
     * 是否是无效手机格式
     * @param phone 要校验的手机号
     * @return true:符合,false:不符合
     */
    public static boolean isPhoneInvalid(String phone){
        return mismatch(phone, RegexPatterns.PHONE_REGEX);
    }
    /**
     * 是否是无效邮箱格式
     * @param email 要校验的邮箱
     * @return true:符合,false:不符合
     */
    public static boolean isEmailInvalid(String email){
        return mismatch(email, RegexPatterns.EMAIL_REGEX);
    }

    /**
     * 是否是无效验证码格式
     * @param code 要校验的验证码
     * @return true:符合,false:不符合
     */
    public static boolean isCodeInvalid(String code){
        return mismatch(code, RegexPatterns.VERIFY_CODE_REGEX);
    }

    // 校验是否不符合正则格式
    private static boolean mismatch(String str, String regex){
        if (StrUtil.isBlank(str)) {
            return true;
        }
        return !str.matches(regex);
    }
}

第三步: 整合Redis(实现验证码缓存
q392636814的博客
01-06 1015
1 添加依赖 <!--redis--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> 2 添加配置 在application.yml中添加redis配置 redis: host: localhost
SpringBoot整合ehcache缓存 手机验证码校验
博客
05-05 989
SpringBoot整合Ehcache缓存 查看上个文章,手机验证码的案例已经完成了,整合Ehcache技术。Ehcache是一种缓存技术,使用springboot整合Ehcache其实就是变更一下缓存技术的实现方式 步骤①:导入Ehcache的坐标 <dependency> <groupId>net.sf.ehcache</groupId> <artifactId>ehcache</artifactId>
短信验证码发送,缓存
weixin_43009990的博客
01-08 2510
通过工具类进行短信的发送,自定义短信类容 1.导入依赖 &lt;dependency&gt; &lt;groupId&gt;com.github.qcloudsms&lt;/groupId&gt; &lt;artifactId&gt;qcloudsms&lt;/artifactId&gt; &lt;version&gt;RE...
Redis_缓存验证码
m0_55679301的博客
08-04 1306
所以,Redis中的LRU算法是这样实现的:首先定义一个淘汰池,这个淘汰池是一个数组(大小为16),然后触发淘汰时会根据配置的淘汰策略,先从符合条件的key中随机采样选出5(可在配置文件中配置)个key,然后将这5个key按照空闲时间排序后放到淘汰池中,每次采样之后更新这个淘汰池,让这个淘汰池里保留的总是那些随机采样出的key中空闲时间最长的那部分key。我们知道,实现LRU算法时,需要将所有的数据按照访问时间距离当前时间的长短排序放到一个双向链表中,基于这个链表实现数据的淘汰。为了后续的校验登录状态。
Redis缓存验证码
qq_42702331的博客
09-11 1746
通常项目中,在进行登录或者查看一些数据私密度高的数据的时候都需要去额外的校验一下 步骤 1.生成6位数随机验证码 2.将验证码和手机号存储在Redis缓存中 3.发送短信,用户接受短信,在指定时间填写正确验证码 4.接受前端传过来的验证码,取出Redis缓存中的验证码进行对比 5.根据对比结果,超时,填写错误,正确,返回不同的状态,校验通过则进行下一步,否则重新进行第一步 //设置验证码长度6位 private final static String EsConstants.RedisCod
Django缓存验证码登录、表单验证
pythoncsdn111的博客
08-28 582
1.3 缓存验证码登录、表单验证 Django 中的缓存 接口及用法 from django.core.cache import cache # 在缓存中设置 age = 123, 10秒过期 cache.set('age', 123, 10) # 获取 age a = cache.get('age') print(a) # 自增 x = cache.incr('age') prin...
spring-gateway实现登录验证码校验的代码,百分百可用
06-23
以上就是使用 Spring Gateway 结合 Kaptcha 实现登录验证码校验的完整流程。这个方案不仅提高了系统的安全性,还保证了用户体验,因为所有验证都在网关层完成,无需向各个微服务传递额外的验证负担。通过这种方式,...
后端使用hutool工具库生成图形验证码以及存入Redis进行缓存
WeiRongQ的博客
04-23 940
后端使用hutool工具库生成图形验证码以及存入Redis进行缓存
jsp生成图片验证码进行校验
pinkCoderMonkey的博客
02-04 1889
这里用到的是itcast-tool jar包实现的图片验证码。 1.编写jsp页面 <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <!DOCTYPE html> <html> <head> <meta char...
express发送验证码以及验证码校验
zhangli0421的博客
12-23 1726
// 发送邮件的接口 router.get('/email', function (req, res, next) { //保存验证码和邮箱,时间 let student = {}; let email = req.query.email; let code = createSixNum(); console.log(code); let time = new Date().getTime(); student.initCode = code; student.time =.
Redis实战篇(一)验证码登录缓存穿透、缓存击穿、缓存雪崩的讲解以及解决
weixin_53669566的博客
06-28 1058
目录基于session实验短信登录 发送验证码 登录验证功能​编辑 用Redis实现共享Session问题登录拦截器的优化商品查询缓存什么是缓存添加redis缓存 缓存穿透 缓存雪崩 缓存击穿 缓存工具封装​编辑 商品查询缓存 什么是缓存 缓存雪崩
C# ASP.NET Core Web API Redis使用教程(二)
菜鸟的专栏
12-28 4405
C# ASP.NET Core Web API Redis使用教程(二)
05 【若依框架解读】登录认证JWTtoken验证机制
kouryoushine的博客
12-06 2万+
背景 今天讲下若依框架对于登录认证方面的实现,这个方面若依做的不算太好,如果项目中想用的话需要参考其他框架的实现,做的更好一些。 我建议是前后端放在一起来看,单纯看后端会比较无趣。 后端部分 /login 接口 userName password code 验证码 前端获取上面三个要素后调用接口,整体改接口做了下面几件事情 验证用户身份(账号密码+验证码) 生成token 保存用户登录态到spring security中 安全配置:定义了基本的配置信息 framework.config.Securi
BeanUtils.copyProperties的用法(超详细,建议收藏)
热门推荐
wwwwwww31311的博客
05-25 6万+
用法 org.springframework.beans.BeanUtils,它提供了对java反射和自省API的包装。它里面还有很多工具类,这里我们介绍一下copyProperties。 我们如果有两个具有很多相同属性的JavaBean对象a和b,想把a中的属性赋值到b,比如接口中将接收到的前端请求参数封装为reqVo,dan @Data public class User { private String id; private String name; private Stri
验证码的储存方式以及使用Redis储存验证码
kxcr777的博客
07-28 1239
对于大多数Web应用程序而言,将验证码存储在HTTP会话中是最简单和直接的方法。但是,如果你的应用程序需要处理高发请求、部署在分布式系统中,或者对验证码的安全性有更高要求,那么使用服务器端缓存(如Redis)可能是一个更好的选择。这样可以确保验证码数据的高可用性和快速访问,同时避免会话管理的一些潜在问题。无论选择哪种存储方式,都应该注意以下几点:确保验证码数据的机密性和完整性,避免被恶意用户窃取或篡改。设置合理的验证码过期时间,避免使用过期的验证码进行登录或注册。
Redis实战】基于Redis保存验证码登录实例
最新发布
菜鸟的博客
12-09 440
校验手机号是否正确正确,生成验证码。错误 ,给出提示。保存验证码redis中发送验证码Controller 层service层接口service实现类定义一个类存放常量。
redis缓存手机验证码案例
weixin_52236586的博客
10-24 851
redis缓存手机验证码案例
springboot基础(38):短信验证码缓存案例@CachePut
不积跬步,无以至千里
07-07 1190
短信验证码,手机验证码通常会60秒后可以重新发送,也就意味着缓存后,可以继续覆盖重新缓存。@Cachecache注解在缓存后,将不会再执行,不符合发送验证码的场景。这里需要用到@CachePut,只存不取。 编写controller 获取验证码 实体类 运行服务器,发送请求获取验证码,每次请求,都会获取到新的验证码。拿去获取到的验证比对,进行验证码校验。 总结 上面的demo省略了service层,简化了验证码的发送,正常的情况应该添加service层。 @CachePut和@Cache
java 后台生成验证码图片(验证码缓存Redis中).
qq_36308742的博客
07-09 3725
效果如下图: springBoot 中添加 Redis https://blog.csdn.net/qq_36308742/article/details/95178698 文件目录结构如下: 部分文件不做展示。不能完全复现 自行变通。 LonginContreoller.java package com.haylion.springboot.controller; import co...
登录接口中验证码保存到什么地方
09-24
服务器会为每个登录用户创建一个会话对象,在该对象中保存验证码等相关信息。用户提交登录请求后,服务器会从对应的会话对象中获取保存验证码进行校验。这种方式适用于对服务器资源占用较敏感的场景,因为会话...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

记得开心一点嘛

您的打赏是对我最大的鼓励与期待

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值