本文详细介绍了注册登录的过程,包括用户注册、登录、校验、登出及网关登录控制。同时,深入讲解了JWT的原理、用途以及如何使用,以及RSA加密算法在确保数据安全方面的应用。此外,还讨论了cookie被禁用时的解决方案和防止cookie被盗用的方法。
注册登录鉴权
1.用户注册
前台需要给我们传递用户名、密码、手机号、手机验证码。验证用户前台传过来的数据是否符合规范,我们使用的Hibernate Validator框架实现的服务端表单校验。短信验证码这块,我们采用的阿里的大于短信接口来做的,我们单独搭建了一个短信微服务,发送的短信请求通过MQ消息由短信微服务消费,进行短信发送。密码我们使用的是Spring提供的BCryptPasswordEncoder加密算法,分成加密和验证两个过程:
加密:算法会对明文密码使用UUID随机生成一个salt,使用salt结合密码来加密,得到最终的密文。
验证密码:需要先拿到加密后的密码和要验证的密码,根据已加密的密码来推测出salt,然后利用相同的算法和salt对要验证码的密码加密,与已加密的密码对比即可。
短信验证码的有效期为30分钟,为了验证短信验证码的时效性,我们保存到了redis中,手机号作为key,验证码作为value,设置有效期为30分钟。另外为了防止恶意攻击,我们限制一个手机号1分钟之内只能发送一次验证码,这个也是通过redis来实现的,手机号拼接"_yes"为key,验证码为value,设置有效期为1分钟。为了防止机器恶意调用验证码接口,我们这个地方使用图形验证码来进行限制。
1.2.用户登录
使用JWT+RSA加密技术实现了无状态登录。我们单独搭建了一个校验微服务来进行校验,验证用户名和密码的话需要通过feign组件来调用用户魏服务来进行查询,另外的话,我们使用JWT+RSA加密生成一个token返回给前台,写到cooki
最低0.47元/天 解锁文章
扫一扫
545
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
