将用户手机验证登录生成的code(验证码)存储在Session中时,在用户点击登录校验时,不止要判断code是否符合,还要判断是不是发送code请求的手机号,否则会导致发送手机号请求与登录手机号不符合的问题,导致可以用自己的手机号登录别人的账号。非常严重。
解决方案:
1.存储在Session中时拼凑上手机号和验证码,两者结合在一起,同取同放。
2.目前博主了解的redis中,在存放key与value时可以使用手机号为key,code为value的方式,达到了一一使用,不会导致登录验证的手机号与生成code的手机号不符问题。
问题出处:在黑马程序员redis课程中,项目用Session来模拟请求登录所出现的问题。