基于session登录问题

已于 2023-09-02 10:33:49 修改
阅读量272 收藏 2
点赞数
分类专栏: spring 文章标签: java 服务器 前端
于 2023-02-09 17:06:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bubbleJessica/article/details/128954817
版权

资料信息

package com.hmdp.dto;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

import java.util.List;

@Data
@NoArgsConstructor
@AllArgsConstructor
public class Result {
    private Boolean success;
    private String errorMsg;
    private Object data;
    private Long total;

    public static Result ok(){
        return new Result(true, null, null, null);
    }
    public static Result ok(Object data){
        return new Result(true, null, data, null);
    }
    public static Result ok(List<?> data, Long total){
        return new Result(true, null, data, total);
    }
    public static Result fail(String errorMsg){
        return new Result(false, errorMsg, null, null);
    }
}

package com.hmdp.dto;

import lombok.Data;

@Data
public class UserDTO {
    private Long id;
    private String nickName;
    private String icon;
}

package com.hmdp.entity;

import com.baomidou.mybatisplus.annotation.IdType;
import com.baomidou.mybatisplus.annotation.TableId;
import com.baomidou.mybatisplus.annotation.TableName;
import lombok.Data;
import lombok.EqualsAndHashCode;
import lombok.experimental.Accessors;

import java.io.Serializable;
import java.time.LocalDateTime;

/**
 * <p>
 * 
 * </p>
 *
 * @author 虎哥
 * @since 2021-12-22
 */
@Data
@EqualsAndHashCode(callSuper = false)
@Accessors(chain = true)
@TableName("tb_user")
public class User implements Serializable {

    private static final long serialVersionUID = 1L;

    /**
     * 主键
     */
    @TableId(value = "id", type = IdType.AUTO)
    private Long id;

    /**
     * 手机号码
     */
    private String phone;

    /**
     * 密码,加密存储
     */
    private String password;

    /**
     * 昵称,默认是随机字符
     */
    private String nickName;

    /**
     * 用户头像
     */
    private String icon = "";

    /**
     * 创建时间
     */
    private LocalDateTime createTime;

    /**
     * 更新时间
     */
    private LocalDateTime updateTime;


}

发送验证码

public Result sendCode(String phone, HttpSession session) {
        // 1.校验手机号
        if (RegexUtils.isPhoneInvalid(phone)) {
            // 2.如果不符合,返回错误信息
            return Result.fail("手机号格式错误");
        }
        // 3.符合,生成随机6位验证码
        String code = RandomUtil.randomNumbers(6);
        // 4.保存验证码到session
        session.setAttribute("code", code);
        // 5.发送验证码
        log.debug("发送短信验证码成功,验证码为:{}", code);

        return Result.ok();
    }

点击登录

public Result login(LoginFormDTO loginForm, HttpSession session) {
        String phone = loginForm.getPhone();
        // 1.校验手机号
        if (RegexUtils.isPhoneInvalid(phone)) {
            // 2.如果不符合,返回错误信息
            return Result.fail("手机号格式错误");
        }

        // 2.校验验证码
        Object cacheCode = session.getAttribute("code");
        String code = loginForm.getCode();
        if (cacheCode == null || !cacheCode.equals(code)) {
            // 3.不一致,直接报错
            return Result.fail("验证码错误");
        }

        // 4.一致,根据手机号查询用户 select * from tb_user where phone = ?(这里不用自己写,使用mybatisPlus自带即可)
        User user = query().eq("phone", phone).one();

        // 5.判断用户是否存在
        if (user == null) {
            // 6.不存在,创建新用户并保存
            user = createUserWithPhone(phone);
        }

        // 7.保存用户信息到session中
        session.setAttribute("user", user);
        return Result.ok();
    }

    private User createUserWithPhone(String phone) {
        // 1.创建用户
        User user = new User();
        user.setPhone(phone);
        user.setNickName(USER_NICK_NAME_PREFIX + RandomUtil.randomString(10));
        // 2.保存用户
        save(user);
        return user;
    }

检验登录状态(配置拦截器)

封装ThreadLocal

public class UserHolder {
    private static final ThreadLocal<UserDTO> tl = new ThreadLocal<>();

    public static void saveUser(UserDTO user){
        tl.set(user);
    }

    public static UserDTO getUser(){
        return tl.get();
    }

    public static void removeUser(){
        tl.remove();
    }
}

在代码里选中user,然后快捷键alt+F7,就会弹出关联东西

因为ThreadLocal底层是ThreadLocalMap,当前线程ThreadLocal作为key弱引用,user作为value强引用 

必须做remove,内存泄漏就是ThreadLocal占用的jvm内存部分,没有被使用,却一直占用叫做内存泄漏

注意这里user类型需要设置为User,因为后期需要修改UserDao,所以我这里就不修改了 

在进行controller之前进行登录校验,最后用户业务执行完毕销毁对应用户信息,避免内存泄漏

package com.hmdp.utils;

import com.hmdp.entity.User;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

public class LoginInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 1.请求session并携带cookie
        HttpSession session = request.getSession();
        // 2.从session中获取用户
        Object user = session.getAttribute("user");
        // 3.判断用户是否存在
        if (user==null){
            // 4.如果不存在,拦截,返回401状态码 未授权
            response.setStatus(401);
            return false;
        }
        // 5.如果存在,保存用户信息到ThreadLocal中
        UserHolder.saveUser((User) user);
        // 6.放行
        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // 线程处理完之后执行的
        // 移除用户
        UserHolder.removeUser();
    }
}

放行一些路径

package com.hmdp.config;

import com.hmdp.utils.LoginInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class MvcConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new LoginInterceptor()).excludePathPatterns(
                "/user/code",
                "/user/login",
                "/blog/hot",
                "/shop-type/**",
                "/shop/**"
        );
    }
}

package com.hmdp.controller;

import com.hmdp.dto.LoginFormDTO;
import com.hmdp.dto.Result;
import com.hmdp.dto.UserDTO;
import com.hmdp.entity.UserInfo;
import com.hmdp.service.IUserInfoService;
import com.hmdp.service.IUserService;
import com.hmdp.utils.UserHolder;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.*;

import javax.annotation.Resource;
import javax.servlet.http.HttpSession;

/**
 * <p>
 * 前端控制器
 * </p>
 *
 * @author 虎哥
 * @since 2021-12-22
 */
@Slf4j
@RestController
@RequestMapping("/user")
public class UserController {

    @Resource
    private IUserService userService;

    @Resource
    private IUserInfoService userInfoService;

    /**
     * 发送手机验证码
     */
    @PostMapping("code")
    public Result sendCode(@RequestParam("phone") String phone, HttpSession session) {
        // TODO 发送短信验证码并保存验证码
        // return Result.fail("功能未完成");
        return  userService.sendCode(phone,session);
    }

    /**
     * 登录功能
     * @param loginForm 登录参数,包含手机号、验证码;或者手机号、密码
     */
    @PostMapping("/login")
    public Result login(@RequestBody LoginFormDTO loginForm, HttpSession session){
        // TODO 实现登录功能
        //return Result.fail("功能未完成");
        return userService.login(loginForm,session);
    }

    /**
     * 登出功能
     * @return 无
     */
    @PostMapping("/logout")
    public Result logout(){
        // TODO 实现登出功能
        return Result.fail("功能未完成");
    }

    @GetMapping("/me")
    public Result me(){
        // TODO 获取当前登录的用户并返回
        UserDTO user = UserHolder.getUser();
        return Result.ok(user);
        //return Result.fail("功能未完成");
    }

    @GetMapping("/info/{id}")
    public Result info(@PathVariable("id") Long userId){
        // 查询详情
        UserInfo info = userInfoService.getById(userId);
        if (info == null) {
            // 没有详情,应该是第一次查看详情
            return Result.ok();
        }
        info.setCreateTime(null);
        info.setUpdateTime(null);
        // 返回
        return Result.ok(info);
    }
}

// 7.保存用户信息到session中
        UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
        session.setAttribute("user", userDTO);
        return Result.ok();

使用User存储,出现敏感信息,不安全,需要进行优化

优化之后 

// 7.保存用户信息到session中
        UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
        session.setAttribute("user", userDTO);
        return Result.ok();
// 5.如果存在,保存用户信息到ThreadLocal中
        UserHolder.saveUser((UserDTO) user);
package com.hmdp.utils;

import com.hmdp.dto.UserDTO;

public class UserHolder {
    private static final ThreadLocal<UserDTO> tl = new ThreadLocal<>();

    public static void saveUser(UserDTO user){
        tl.set(user);
    }

    public static UserDTO getUser(){
        return tl.get();
    }

    public static void removeUser(){
        tl.remove();
    }
}

 

不会出现敏感信息了 

bubbleJessica
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实现登录功能 (会话机制session
molu1991的博客
04-10 8111
实现登录功能: 步骤1:数据库当中添加一个用户表:t_user t_user表当中存储的是用户的登录信息,最基本的也包括:登录的用户名和登录的密码。 密码一般在数据库表当中存储的是密文。一般不以明文的形式存储。(这里先使用明文方式。) 向t_user表中插入数据。 步骤2:再实现一个登录页面。 登录页面上应该有一个登录的表单。有用户名和密码输入的框。 ...
基于session的单点登陆
11-05
【基于Session的单点登录详解】 单点登录(Single Sign-On,简称SSO)是一种允许用户在多个相互关联的应用系统中使用一个身份进行登录的技术。它简化了用户管理和权限控制,提高了用户体验。在这个项目中,我们采用...
session实现登录
热门推荐
weixin_45967375的博客
08-16 1万+
1、用户登录之前不管是哪个链接,都会跳转到登录界面 2、在登陆成功之后,添加session用户信息 3、如果在有session认证的情况下访问,无需登录 用户从登录界面进来后,把用户信息存储到session里面,每次退出登录就把session里用户清除。 每次用户访问程序都会查session里有没有这个用户信息,如果没有就跳到登陆界面,如果有就跳转用户以前的界面无需在登录。 首先编写拦截器 拦截用户访问的路径 import org.springframework.context.annot.
基于Session进行登录校验
abc123mma的博客
10-23 2199
黑马点评项目,基于Session进行登录校验
[Java实现单点登录session ]
汤圆的博客
06-13 2337
惊蛰 --古诗 《闻雷》 【唐】白居易 瘴地风霜早,温天气候催。 穷冬不见雪,正月已闻雷。 震蛰虫蛇出,惊枯草木开。 空余客方寸,依旧似寒灰。
基于session对象实现用户登录系统
m0_65651864的博客
04-16 3524
session对象实现用户登录系统。
JavaWeb基于Session实现的用户登陆注销方法示例
08-28
本篇文章将详细介绍如何基于Session实现用户登录和注销功能,并对比Cookie和Session的主要区别。 首先,我们要了解Session的工作原理。Session服务器端的技术,它会在用户首次请求时创建一个唯一的Session ID,...
Java Web实现session过期后自动跳转到登陆页功能【基于过滤器】
08-28
Java Web实现session过期后自动跳转到登陆页功能【基于过滤器】 本文主要介绍了Java Web实现session过期后自动跳转到登陆页功能,涉及java过滤器针对session的判断与跳转相关操作技巧。 一、建立基本过滤器 要...
基于netbeans 淘宝注册 登陆
06-14
7. **安全措施**:在实际开发中,还需考虑防止SQL注入、XSS攻击等安全问题。通过预编译SQL语句、过滤用户输入等方式,可以增强系统的安全性。 8. **状态管理**:登录成功的用户可能需要在多个页面间保持登录状态,...
基于数据库的登陆系统
10-17
匹配成功后,系统会生成一个会话(Session)或者令牌(Token),用于后续的用户身份验证,防止未授权访问。 4. **登陆成功后的显示基本信息**: 登录成功后,系统将根据用户的ID从数据库中获取其基本信息,如...
通过session实现用户的登录与登出功能
jakelihua
02-19 3146
通过session实现用户的登录与登出功能,logout
登录与异常处理(Session/Cookie/JWT/Filter/Interceptor)
BOB_sex的博客
08-05 134
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-61XwxUYj-1691239428260)(img_60.png)]统一拦截请求,使用过滤器Filter或者拦截器Interceptor。
解决在使用session实现登录界面错误提示显示为null问题
Khalil三省的博客妙妙屋
08-16 3692
文章目录1. 错误说明2. 解决过程 1. 错误说明 在使用session实现登录界面的错误提示即:用户名或密码错误时,发现一个问题. 在刚进登录界面时,在界面上显示一个null,特别影响美观,而在输入错误用户名密码之后显示的登录界面是正常的.(可恶啊) 图1是还没提交错误之前的误显示null的界面,图2是没问题的界面 图1: 图2: 2. 解决过程 既然出现了问题肯定是要解决的,先看看jsp语句 是这样的 想了一下问题的起因应该是由于从session中取出的message还没赋值为null,所以
Session登陆实践
最新发布
goat的博客
03-09 1205
假如我们的服务端是分布式的,也就是有多台服务器同时提供服务,假如在用户登陆请求发送到服务器A,服务器A保存了;突然服务器A宕机,接下来当前用户的所有请求将要发送到服务器B,但此时服务器B中没有当前保存当前用户的登陆态,显然单机Session登陆不太适合分布式下的用户登陆。单机模式下,不同的Session对象都被保存在同一个服务器中,服务器根据保存在用户浏览器Cookie中的SessionId查找Session对象。对象,并将其与请求关联。关注一手等待后续更新更多干货🚀。
基于Session实现短信登录
weixin_51351637的博客
10-29 4444
这个地方为什么需要session?因为我们需要把验证码保存在session当中。
使用session实现用户登录
m0_59813605的博客
11-20 7962
通过所学Session知识,使读者学会如何使用Session技术实现用户登录的功能。 1.创建封装用户信息类: 2.创建servlet: 1)创建indexServlet类显示网站首页,如果用户没有登陆,那么首页界面提示用户登录,否则,显示用户已经登录信息,判断用户是否真的登录: 2)LoginServlet,用于显示用户登录后的界面: 3)创建LogouServlet类会将用户信息移除,并转跳到首页: 3.创建登录页面 创建名称login.html的创业面,页面包含...
①实现基于session登录流程:发送验证码、登录注册、校验登陆状态
ebb29bbe的博客
11-28 2151
- `发送验证码`: - - 用户输入手机号,点击发送按钮进行手机号提交,程序会校验手机号是否合法,不合法时要求用户重新输入手机号,合法则在后台生成对应的验证码并保存至`session`,之后通过短信方式将验证码发送给用户。 - `注册、登录`: - - 用户将手机号、验证码输入,后台从session中获取验证码与用户输入的验证码进行比对校验,如果不一致则无法通过校验,提示用户验证码错误,验证码一直则后台根据手机号查询用户,若用户不存在,则为用户创建账号信息并保存至数据库中,最后无论用户是否存在,都将用户的
session实现用户验证码登录
lyu2019的博客
05-18 4653
session实现用户验证码登录
Java大数据平台开发 学习笔记(56)—— session.getAttribute 却显示 null 问题 及其 request.getSession(true/false) 的理解
qq_42209354的博客
10-27 2722
一、request.getSession()和request.getSession(true/false)的理解: request.getSession() 和 request.getSession(true) 意思相同:如果 session 不存在,就新建一个 session。 request.getSession() 和 reqeust.getSession(false) 获取 session,如果 session不存在,则返回null。 二、session.setAttribute 明明获得了值,
基于SQLAlchemy的登陆系统
06-09
好的,我可以为您介绍一下基于SQLAlchemy的登陆系统。SQLAlchemy是一个Python的ORM库,可以方便地与数据库交互。下面是一个简单的登陆系统的代码,使用了SQLite数据库和Flask框架: ```python from flask import Flask, render_template, request, redirect, url_for, session from sqlalchemy import create_engine, Column, Integer, String from sqlalchemy.ext.declarative import declarative_base from sqlalchemy.orm import sessionmaker app = Flask(__name__) app.secret_key = 'mysecretkey' engine = create_engine('sqlite:///users.db', echo=True) Base = declarative_base() class User(Base): __tablename__ = 'users' id = Column(Integer, primary_key=True) username = Column(String(50), unique=True) password = Column(String(50)) Base.metadata.create_all(engine) Session = sessionmaker(bind=engine) db_session = Session() @app.route('/') def home(): return render_template('home.html') @app.route('/login', methods=['GET', 'POST']) def login(): if request.method == 'POST': username = request.form['username'] password = request.form['password'] user = db_session.query(User).filter_by(username=username, password=password).first() if user: session['username'] = user.username return redirect(url_for('profile')) else: return render_template('login.html', message='Wrong username or password!') else: return render_template('login.html') @app.route('/profile') def profile(): if 'username' in session: return render_template('profile.html', username=session['username']) else: return redirect(url_for('login')) @app.route('/logout') def logout(): session.pop('username', None) return redirect(url_for('home')) ``` 在这个代码中,我们定义了一个User模型类,它映射到数据库中的users表,包含id、username和password三个字段。我们使用Flask框架来处理HTTP请求,并使用session来保存用户的登录状态。 在/login路由中,我们首先从表单中获取用户名和密码,然后使用SQLAlchemy查询数据库中是否存在这个用户。如果存在,则将用户名存储到session中,并重定向到/profile路由。否则,返回一个错误消息。 在/profile路由中,我们检查用户是否已经登录,如果已经登录,则返回用户的个人资料页面。否则,重定向到/login路由。 在/logout路由中,我们删除session中的用户名,并重定向到首页。 这是一个简单的基于SQLAlchemy的登陆系统的实现。当然,真正的生产环境中需要更加完善的安全机制,比如密码加盐哈希存储,防止SQL注入等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值