短信登录session-redis

已于 2024-04-19 19:56:24 修改
阅读量696 收藏 15
点赞数 18
分类专栏: java业务逻辑 文章标签: redis 数据库 缓存
于 2024-04-19 19:54:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51492817/article/details/137964011
版权
本文介绍了在SpringMVC应用中,通过发送短信验证码、验证用户输入、使用Redis存储和共享session,以及实现登录拦截器以确保安全性的详细过程。
摘要由CSDN通过智能技术生成

1.流程

在这里插入图片描述

1.1 发送验证码

  1. 模拟路径
http://127.0.0.1:8080/api/user/code?phone=1335566
Request Method:POST
  1. controller层
	/**
     * 发送手机验证码
     */
    @PostMapping("code")
    public Result sendCode(@RequestParam("phone") String phone, HttpSession session) {
        // TODO 发送短信验证码并保存验证码
        return userService.sendCode(phone,session);
    }

2.调用service层Impl

@Override
    public Result sendCode(String phone, HttpSession session) {
        // 1.校验手机号
        if (RegexUtils.isPhoneInvalid(phone)) {
            // 2.如果不符合,返回错误信息
            return Result.fail("手机号格式错误!");
        }
        // 3.符合,生成验证码
        String code = RandomUtil.randomNumbers(6);

        // 4.保存验证码到 session
        session.setAttribute("code",code);
        // 5.(模拟)发送验证码
        log.debug("发送短信验证码成功,验证码:{}", code);
        // 返回ok
        return Result.ok();
    }

1.2 验证码登录

1.controller层

 	 /**
     * 登录功能
     * @param loginForm 登录参数,包含手机号、验证码;或者手机号、密码
     */
    @PostMapping("/login")
    public Result login(@RequestBody LoginFormDTO loginForm, HttpSession session){
        return userService.login(loginForm, session);
    }

2.service层Impl

 @Override
    public Result login(LoginFormDTO loginForm, HttpSession session) {
        // 1.校验手机号
        String phone = loginForm.getPhone();
        if (RegexUtils.isPhoneInvalid(phone)) {
            // 2.如果不符合,返回错误信息
            return Result.fail("手机号格式错误!");
        }
        // 3.校验验证码
        Object cacheCode = session.getAttribute("code");
        String code = loginForm.getCode();
        if(cacheCode == null || !cacheCode.toString().equals(code)){
             //3.不一致,报错
            return Result.fail("验证码错误");
        }
        //一致,根据手机号查询用户  mybatis-plus
        User user = query().eq("phone", phone).one();

        //5.判断用户是否存在
        if(user == null){
            //不存在,则创建
            user =  createUserWithPhone(phone);
        }
        //7.保存用户信息到session中,返回的数据为了安全性进行Dto封装,使用hutool中的BeanUtil.copyProperties()进行复制
        session.setAttribute("user", BeanUtil.copyProperties(user, UserDTO.class));

        return Result.ok();
    }
    
private User createUserWithPhone(String phone) {
		//创建用户配置默认信息
        User user = new User();
        user.setPhone(phone);
        user.setNickName(USER_NICK_NAME_PREFIX + RandomUtil.randomString(10));
        //向数据库中添加用户
        save(user);
        return user;
    }

1.3 登录校验

  1. 在utils层创建拦截器并且实现HandlerInterceptor接口
  2. 快捷键Ctrl + i 重写相关方法
public class LoginInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //1.获取session
        HttpSession session = request.getSession();
        //2.获取session中的用户
        Object user = session.getAttribute("user");
        //3.判断用户是否存在
        if(user == null){
              //4.不存在,拦截,返回401状态码
              response.setStatus(401);
              return false;
        }
        //5.存在,保存用户信息到Threadlocal
        UserHolder.saveUser((UserDto) user);
        //6.放行
        return true;
    }

 	@Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
    //为了防止内存溢出要对ThreadLocal中的数据进行清除
        UserHolder.removeUser();
    }
}
  1. 让拦截器生效(配置拦截器)
    在config层创建配置类并且实现WebMvcConfigurer接口,添加@Configuration注解,重写addInterceptors方法
@Configuration
public class MvcConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 登录拦截器
        registry.addInterceptor(new LoginInterceptor())
                .excludePathPatterns(
                        "/shop/**",
                        "/voucher/**",
                        "/shop-type/**",
                        "/upload/**",
                        "/blog/hot",
                        "/user/code",
                        "/user/login"
                );
    }
}

2. ThreadLocal如何书写

public class UserHolder {
    private static final ThreadLocal<UserDTO> tl = new ThreadLocal<>();

    public static void saveUser(UserDTO user){
        tl.set(user);
    }

    public static UserDTO getUser(){
        return tl.get();
    }

    public static void removeUser(){
        tl.remove();
    }
}

3. session共享问题:多台Tomcat服务器不共享session存储空间,请求到不同服务器是可能出现数据丢失

4.基于Redis实现共享session登录

在这里插入图片描述

4.1 发送验证码

  1. 模拟路径
http://127.0.0.1:8080/api/user/code?phone=1335566
Request Method:POST
  1. controller层
	/**
     * 发送手机验证码
     */
    @PostMapping("code")
    public Result sendCode(@RequestParam("phone") String phone, HttpSession session) {
        // TODO 发送短信验证码并保存验证码
        return userService.sendCode(phone,session);
    }

2.调用service层Impl
【和之前不同的是:要引入redis相关依赖,不写入session,而是写入redis数据库】



 @Resource
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public Result sendCode(String phone, HttpSession session) {
        // 1.校验手机号
        if (RegexUtils.isPhoneInvalid(phone)) {
            // 2.如果不符合,返回错误信息
            return Result.fail("手机号格式错误!");
        }
        // 3.符合,生成验证码
        String code = RandomUtil.randomNumbers(6);

        /*4.保存验证码到 session
        session.setAttribute("code",code);*/
        //4.保存验证码到redis并设置过期时间
        stringRedisTemplate.opsForValue().set(LOGIN_CODE_KEY + phone,code,2, TimeUnit.MINUTES);
        // 5.(模拟)发送验证码
        log.debug("发送短信验证码成功,验证码:{}", code);
        // 返回ok
        return Result.ok();
    }

4.2 验证码登录

 @Override
    public Result login(LoginFormDTO loginForm, HttpSession session) {
        // 1.校验手机号
        String phone = loginForm.getPhone();
        if (RegexUtils.isPhoneInvalid(phone)) {
            // 2.如果不符合,返回错误信息
            return Result.fail("手机号格式错误!");
        }
        // 3.从redis获取验证码并校验
        String cacheCode = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY + phone);
        String code = loginForm.getCode();
        if (cacheCode == null || !cacheCode.equals(code)) {
            // 不一致,报错
            return Result.fail("验证码错误");
        }
        //4一致,根据手机号查询用户
        User user = query().eq("phone", phone).one();

        //5.判断用户是否存在
        if(user == null){
            //不存在,则创建
            user =  createUserWithPhone(phone);
        }
/*        7.保存用户信息到session中
        session.setAttribute("user", BeanUtil.copyProperties(user, UserDTO.class));*/

        // 7.保存用户信息到 redis中
        // 7.1.随机生成token,作为登录令牌 UUID hutool中的
        String token = UUID.randomUUID().toString(true);
        // 7.2.将User对象转为DTO和HashMap存储
        UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
        Map<String, Object> userMap = BeanUtil.beanToMap(userDTO, new HashMap<>(),
                CopyOptions.create()
                        .setIgnoreNullValue(true)
                        .setFieldValueEditor((fieldName, fieldValue) -> fieldValue.toString()));
        // 7.3.存储
        String tokenKey = LOGIN_USER_KEY + token;
        stringRedisTemplate.opsForHash().putAll(tokenKey, userMap);
        // 7.4.设置token有效期
        stringRedisTemplate.expire(tokenKey, LOGIN_USER_TTL, TimeUnit.MINUTES);
        return Result.ok(token);
    }

    private User createUserWithPhone(String phone) {
        User user = new User();
        user.setPhone(phone);
        user.setNickName(USER_NICK_NAME_PREFIX + RandomUtil.randomString(10));
        save(user);
        return user;
    }

4.3 登录校验

  1. 在utils层创建拦截器并且实现HandlerInterceptor接口
  2. 快捷键Ctrl + i 重写相关方法
  3. 需要注入Redis相关依赖
public class LoginInterceptor implements HandlerInterceptor {
    private StringRedisTemplate stringRedisTemplate;

    public LoginInterceptor(StringRedisTemplate stringRedisTemplate) {
        this.stringRedisTemplate = stringRedisTemplate;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 1.获取请求头中的token
        String token = request.getHeader("authorization");
        if (StrUtil.isBlank(token)) {
            response.setStatus(401);
            return false;
        }
        // 2.基于TOKEN获取redis中的用户
        String key  = LOGIN_USER_KEY + token;
        Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(key);
        // 3.判断用户是否存在
        if (userMap.isEmpty()) {
            response.setStatus(401);
            return false;
        }
        // 5.将查询到的hash数据转为UserDTO
        UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);
        // 6.存在,保存用户信息到 ThreadLocal
        UserHolder.saveUser(userDTO);
        // 7.刷新token有效期
        stringRedisTemplate.expire(key, LOGIN_USER_TTL, TimeUnit.MINUTES);
        //6.放行
        return true;
    }
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        UserHolder.removeUser();
    }
}
  1. 让拦截器生效(配置拦截器)
    在config层创建配置类并且实现WebMvcConfigurer接口,添加@Configuration注解,重写addInterceptors方法
@Configuration
public class MvcConfig implements WebMvcConfigurer {

    @Resource
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 登录拦截器
        registry.addInterceptor(new LoginInterceptor(stringRedisTemplate))
                .excludePathPatterns(
                        "/shop/**",
                        "/voucher/**",
                        "/shop-type/**",
                        "/upload/**",
                        "/blog/hot",
                        "/user/code",
                        "/user/login"
                );
    }
}

5. 拦截器优化

问题:
在这个方案中,他确实可以使用对应路径的拦截,同时刷新登录token令牌的存活时间,但是现在这个拦截器他只是拦截需要被拦截的路径,假设当前用户访问了一些不需要拦截的路径,那么这个拦截器就不会生效,所以此时令牌刷新的动作实际上就不会执行,所以这个方案他是存在问题的
优化:
既然之前的拦截器无法对不需要拦截的路径生效,那么我们可以添加一个拦截器,在第一个拦截器中拦截所有的路径,把第二个拦截器做的事情放入到第一个拦截器中,同时刷新令牌,因为第一个拦截器有了threadLocal的数据,所以此时第二个拦截器只需要判断拦截器中的user对象是否存在即可,完成整体刷新功能。

5.1 定义一个拦截器用来拦截所有请求,因此每个请求都可以对redis中的数据进行刷新,并且优先使用。

public class RefreshTokenInterceptor implements HandlerInterceptor {

   private StringRedisTemplate stringRedisTemplate;

   public RefreshTokenInterceptor(StringRedisTemplate stringRedisTemplate) {
       this.stringRedisTemplate = stringRedisTemplate;
   }

   @Override
   public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
       // 1.获取请求头中的token
       String token = request.getHeader("authorization");
       if (StrUtil.isBlank(token)) {
           return true;
       }
       // 2.基于TOKEN获取redis中的用户
       String key  = LOGIN_USER_KEY + token;
       Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(key);
       // 3.判断用户是否存在
       if (userMap.isEmpty()) {
           return true;
       }
       // 5.将查询到的hash数据转为UserDTO
       UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);
       // 6.存在,保存用户信息到 ThreadLocal
       UserHolder.saveUser(userDTO);
       // 7.刷新token有效期
       stringRedisTemplate.expire(key, LOGIN_USER_TTL, TimeUnit.MINUTES);
       //8.放行
       return true;
   }
   @Override
   public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
       UserHolder.removeUser();
   }
}

5.2 在定义一个拦截器,判断是否拦截

public class LoginInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 1.判断是否需要拦截(ThreadLocal中是否有用户)
        if (UserHolder.getUser() == null) {
            // 没有,需要拦截,设置状态码
            response.setStatus(401);
            // 拦截
            return false;
        }
        // 有用户,则放行
        return true;
    }

}
zy happy
关注
  • 18
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Redis 由浅入深 (0) - Redis常用的应用场景
yh4494的博客
06-07 163
Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSIC语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并
Redis进阶学习02---Redis替代SessionRedis缓存
m0_53157173的博客
04-27 2430
Redis进阶学习02---Redis替代Session基于Session登录流程 本系列参考b站黑马虎哥redis视频编写而成 本系列项目源码将会保存在gitee上面,仓库链接如下: https://gitee.com/DaHuYuXiXi/redis-combat-project 基于Session登录流程 我们先来看一下基于Session实现登录的模板流程是什么样子的: 发送短信验证码 核心逻辑: public Result sendCode(String phone, HttpS
简述 Spring Session 集成 Redis 底层实现及自定义扩展配置
vnjohn 博主 > 主线分享后端领域业务设计知识、源码思想、架构设计
06-06 2926
该篇博文介绍了 Spring Session 集成 Redis 缓存,它是如何自动装配进来的 > 核心类:CacheOperationSource、CacheInterceptor,后面我们自我实现了 Redis 序列化策略、Key 生成策略、自定义缓存管理器,用于对我们的业务作扩展工作,简单介绍了 Redis 核心的一些参数配置,最后,基于自定义扩展配置结合实战简单的使用 @Cacheable、@CacheEvict、@CachePut
Redis 基础 - 短信验证码登录
PurineKing之博客
05-16 2009
本文摘要 先简单列出用session方式,然后简单换为用Redis的方式,并最后通过优化来解决一些小问题。 基于session实现短信登陆的简单流程 发送验证码 前端把手机号传给服务端,后端经过校验后,生成验证码并存入到session中,并通过第三方平台给用户手机发短信验证码。 登陆/注册 前端把登陆用的手机号和刚才接收的验证码传给服务端,后端经过校验后,若没毛病就用手机号去查用户表,没有用户的话给他注册,若有用户,就算是登陆成功。注册/登陆成功后,把用户的部分信息(除去敏感信息)放到session中。 1
黑马点评-验证码登录功能-redis
m0_62452821的博客
05-04 485
根据黑马点评学习心得。这里是登录功能,没有采用session来做,而是直接听了,老师讲了redis方法之后,来实现的。
redis如何设置定时过期_Redis学习笔记--Redis数据过期策略详解
weixin_39618597的博客
12-19 342
本文对Redis的过期机制简单的讲解一下讲解之前我们先抛出一个问题,我们知道很多时候服务器经常会用到redis作为缓存,有很多数据都是临时缓存一下,可能用过之后很久都不会再用到了(比如暂存session,又或者只存放日行情股票数据)那么就会出现一下几个问题了Redis会自己回收清理不用的数据吗?如果能,那如何配置?如果不能,如何防止数据累加后大量占用存储空间的问题?之前一直接触Redis不是很深入...
NoSQL-Redis
春风吹尽叁佰里的博客
04-04 226
Redis:单核的缓存服务,单节点情况下,更加适合于少量用户,多次访问的应用场景。 Redis一般是单机多实例架构,配合redis集群出现,数据大部分存放在内存中。 tar xzf redis-3.2.12.tar.gz make export PATH=/data/redis/src:$PATH 启动redis-server & 关闭redis-cli shutdown 设置red...
利用 Redisson 实现延迟消息队列:一种高效订单取消方案
Takumilove的博客
08-27 589
利用 Redisson 实现延迟消息队列是一种高效的订单管理策略。通过这种方式,我们不仅能够精确地控制订单的处理时效,还可以大幅提升系统的稳定性和响应速度。同时,这种实现方式相对简单,易于维护和扩展。
redis分片集群
求知路上的同行者的博客
08-26 474
使用redis分片集群能够解决。
redis--主从复制
TA016422的博客
08-26 245
单节点Redis的并发能力是有上限的,要进异步提升Redis的并发能力,就需要搭建主从集群,实现读写分离,一般都是一主多从,主节点负责写数据,从节点负责读数据。
redisj集群之哨兵模式
求知路上的同行者的博客
08-26 251
哨兵(sentinel)模式:可以实现主从集群的自动故障恢复。包含了主从服务的监控、自动故障恢复、通知。监控:自动故障恢复:如果主从集群中的master节点故障,sentinel会将一个slave提升为master。当故障实例恢复后也是以新的master为主。通知:冲断redis客户端的服务发现来源,当集群发生故障是,会将最新消息发送给redis客户端。一般项目都是用redis主从集群+哨兵模式来保证redis高并发高可用。
Redis最佳实践
制定持续可量化的目标,不断坚持。
08-27 998
Redis最佳实践
SpringBoot依赖之Spring Data Redis的功能抽离公共服务
ahauedu的专栏
08-26 1208
通过这些步骤,我们在 Spring Boot 项目中成功实现了对 Redis 各种数据类型(String、List、Set、Sorted Set、Bitmap、HyperLogLog 等)的操作。可以处理和管理 Redis 中的各种复杂数据结构,适应不同的应用场景需求。汇总到此结束。关注我一起为Java程序员蓄能,努力为职业生涯续航!
redis的aof日志配置项详解
jkzyx123的博客
08-26 298
Redis 的 AOF(Append-Only File)日志是一种持久化机制,用于记录数据库的所有写操作,以便在 Redis 重启时能够重建数据集。调整这些参数可以根据具体的使用场景来平衡数据安全性和性能需求。这些配置项可以通过编辑 Redis 配置文件。来设置,或者在 Redis 运行时使用。
Redis的持久化机制
江江的博客
08-27 636
Redis的持久化机制包括RDB、AOF和混合持久化三种方式。每种方式都有其优缺点,用户可以根据实际需求和场景来选择合适的持久化策略。在选择时,需要权衡数据安全性、恢复速度、性能等因素。
前后端分离项目实战-通用管理系统搭建(前端Vue3+ElementPlus,后端Springboot+Mysql+Redis)第七篇:菜单和路由动态绑定
分享式获得也是一种学习的态度
08-26 827
每个人都有惰性,但不断学习是好好生活的根本,共勉!绿竹入幽径,青萝拂行衣。——《下终南山过斛斯山人宿置酒》
Redis基本全局命令
最新发布
m0_74189279的博客
08-29 671
redis基本全局命令
spring-session-data-redis整合
03-31
而spring-session-data-redis是Spring Session的一个扩展,它使用Redis作为会话存储。 整合步骤: 1. 添加Maven依赖 ``` <groupId>org.springframework.session <artifactId>spring-session-data-redis ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值