基于Session实现登录流程

流程一:发送短信验证码

• 用户在提交手机号后，会校验手机号是否合法，如果不合法，则要求用户重新输入手机号

• 如果手机号合法，后台此时生成手机号对应的验证码(后台先得到验证码)，同时将验证码保存到session中，然后再通过短信的方式(测试中输出到控制台即可)将验证码发送给用户。

流程二:基于短信验证码/密码实现登录、注册

• 用户将验证码和手机号进行输入，后台从session中拿到当前手机号对应的验证码，然后和用户输入的验证码进行校验，如果不一致，则无法通过校验，如果一致，则后台根据手机号查询用户，如果用户不存在，则为用户创建账号信息，保存到数据库(创建新用户)，无论是否存在，都会将用户信息保存到session中，方便后续获得当前登录信息。

• Sessiom是基于cookie的。每一个session都有一个sessionId保存在cookie当中。当用户来请求的时候会携带上自己的cookie。就可以基于cookie拿到session并且从session中拿到用户对象。

• 并且不需要返回登陆凭证token.因为当前登录基于session实现,每一个session对应一个唯一的sessionId,在访问tomcat时sessionId已经自动保存到了cookie中。之后每次请求都会携带cookie(具有sessionId),从而得到用户对象。

流程三:校验登录状态(任意请求发起时)

• 用户在发起任意请求的时候，会携带cookie(Cookie包含JsessionId)到后台，后台通过JsessionId从session中拿到用户信息，如果没有session信息，则进行拦截。如果有session信息，则需要将当前的用户信息保存到ThreadLocal中(当前的线程域对象)，方便后续的业务使用,并且放行该请求。

• ThreadLocal是一个线程域对象,会将数据(此时即保存当前登录的用户信息)保存到每一个线程的内部（在线程的内部创建一个map来保存）。这样每一个线程都会有自己独立的存储空间，不会相互干扰。如果只是创建一个普通的本地环境变量来保存当前用户,则会出现多线程并发修改的安全问题。在threadLocal中，无论是他的put方法和他的get方法， 都是先获得当前用户的线程，然后从线程中取出线程的成员变量map，只要线程不一样，map就不一样，所以可以通过这种方式来做到线程隔离。