session实现登录以及session与Cookie的关系

已于 2024-08-28 16:03:14 修改
阅读量972 收藏 11
点赞数 12
文章标签: java web 服务器 后端
于 2024-08-06 23:14:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63275583/article/details/140968389
版权

基于session实现登录

image.png

发送短信验证码:

image.png

public Result sendCode(String phone, HttpSession session) {
    // 1.校验手机号
    if (RegexUtils.isPhoneInvalid(phone)) {
        // 2.不合法返回错误
        return Result.fail("手机号格式错误");
    }
    // 3.合法,生成验证码
    String code = RandomUtil.randomNumbers(6);
    // 4.保存到session
    session.setAttribute(phone, code);
    // 5.发送验证码
    log.info("手机验证码:{}", code);
    return Result.ok(code);
}

短信验证码登录、注册:

image.png

public Result login(LoginFormDTO loginForm, HttpSession session) {
    String code = loginForm.getCode();
    String phone = loginForm.getPhone();
    // 1.校验手机号
    if(RegexUtils.isPhoneInvalid(phone)){
        return Result.fail("手机号格式错误");
    }
    // 2.校验验证码
    Object cacheCode = session.getAttribute(phone);
    if(cacheCode == null || !cacheCode.toString().equals(code)){
        // 3.不合法,返回错误信息
        return Result.fail("验证码错误");
    }
    // 4.合法,根据手机号查询用户
    User user = query().eq("phone", phone).one();
    // 5.用户存在,跳过
    // 6.用户不存在
    if(user == null){
        // 6.1 注册
        user = createUserWithPhone(phone);
    }
    // 7 保存到session中
    session.setAttribute("user", user);
    return Result.ok();
}

校验登录状态

校验登录是放在拦截器中的,这样每个业务不用单独再实现校验登录,但是这样会出现线程安全问题,可以用TreadLocal(线程级,tomcat中每个请求都会有一个独立线程)。

image.png

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    // 1.获取session
    HttpSession session = request.getSession();
    // 2.获取session中的user
    Object user = session.getAttribute("user");
    // 3.判断user是否存在
    if(user == null){
        // 4.不存在,拦截    未授权
        response.setStatus(401);
        return false;
    }
    // 5.存在,保存用户信息到ThreadLocal中
    UserHolder.saveUser((User) user);
    // 6.放行
    return true;
}
​
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
    // 移除用户
    UserHolder.removeUser();
}
public class UserHolder {
    private static final ThreadLocal<User> tl = new ThreadLocal<>();
​
    public static void saveUser(User user){
        tl.set(user);
    }
​
    public static User getUser(){
        return tl.get();
    }
​
    public static void removeUser(){
        tl.remove();
    }
}
@Configuration
public class MvcConfig implements WebMvcConfigurer {
​
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new LoginInterceptor())
        .excludePathPatterns(
            "/user/code",
            "/user/login",
            "/blog/hot",
            "/shop/**",
            "/shop-type/**",
            "/upload/**",
            "/voucher/**"
        );
    }
}

session与Cookie

Cookie

因为session是基于Cookie的,故先聊聊cookie。 Cookie是由Web服务器发送到用户浏览器并存储在用户计算机的小型数据文件,用来在用户访问网站时存储和发送有关用户信息,帮助网站记住用户的状态和偏好。

session简介

session(域对象),用于一次会话期间保存共享数据的对象。 session是基于Cookie的,用户第一次使用session时(访问页面),服务器会为用户创建一个session域对象,使用jsessionid和session对象关联,以后请求体都会增加:jessionid=xxxx

session管理

  • Cookie:服务器通过设置一个带有jsessionid的cookie发送给客户端。之后的每次请求,浏览器自动附带该cookie,便于服务器识别对应的会话。

  • URL重写:某些情况下,cookie无法使用(被禁用等),jsessionid附加到URL中,格式为URL;jsessionid=xxxx

  • JWT令牌, 一种用于安全传输信息的紧凑的URL安全的令牌格式(头部,负载,签名)。

session的作用

  • Session是为了解决HTTP无状态性问题。

  • session解决Cookie的局限:Cookie过多时,增加了客户端与服务端的数据传输量,而且浏览器对Cookie是有数量限制的,所以我们不能在Cookie中保存过多的信息。

  • session的作用就是在服务器端保存一些用户数据,然后传递给用户一个名为jsessionid的Cookie,一个jsessionid对应一个session对象,通过jsessionid就可以获取到用户的信息

  • 常用于用户身份认证、个性化设置、购物车功能等。

session的安全性

为了保障Session的安全性,防止会话劫持(如Session Fixation攻击),通常会采取以下措施:

  • session ID的随机性和不可预测性: 确保Session ID的生成是随机的,且不可预测。

  • HTTPS: 使用HTTPS加密传输数据,防止session ID在传输过程中被窃取。

  • session固定攻击的防护: 在用户登录后重新生成session ID。

  • session过期时间: 设置合理的session过期时间,防止长期未操作的session被利用。

###

Cikiss
关注
PHP 实现超简单的SESSIONCOOKIE登录验证功能示例
10-15
在本文中,我们将深入探讨如何使用PHP...总之,PHP中的SESSIONCOOKIE实现登录验证功能的重要工具。通过结合使用它们,我们可以创建一个基本的登录系统,但为了提高安全性,还需要考虑更多的安全措施和最佳实践。
PHP cookiesession的使用与用户自动登录功能实现方法分析
10-16
**CookieSession的区别** 1. **存储位置**:Cookie存储在客户端(浏览器),而Session存储在服务器端。 2. **数据类型**:Session可以存储任何类型的数据,而Cookie的值通常为字符串。 3. **有效期**:Cookie可以...
Django SessionCookie分别实现记住用户登录状态操作
09-16
在Django框架中,有两种主要方法可以实现这一功能:Django SessionCookie。理解这两者的工作原理和如何在Django中使用它们至关重要。 首先,让我们深入了解CookieCookie是由服务器发送到用户浏览器的一小段数据...
JavaWeb使用SessionCookie实现登录认证
08-31
JavaWeb 使用 SessionCookie 实现登录认证 SessionCookieWeb 开发中两种常用的技术,分别用于实现用户会话和客户端数据存储。本文将详细介绍如何使用 SessionCookie 实现登录认证。 什么是 ...
jsp cookie+session实现简易自动登录
01-08
本文实例为大家分享了jsp cookie+session实现简易自动登录的具体代码,供大家参考,具体内容如下 关闭浏览器只会使存储在客户端浏览器内存中的session cookie失效,不会使服务器端的session对象失效。 如果设置了...
JAVA开源】基于Vue和SpringBoot的高校学科竞赛平台
杨荧的CSDN博客
10-10 1446
教师功能有个人中心,题目类型管理,竞赛题库管理,竞赛类型管理,竞赛信息管理,报名信息管理,竞赛评分管理,参赛名单管理,晋级名单管理,获奖名单管理,竞赛总结管理,报销清单管理,成绩申诉管理,参赛信息管理,参赛信息管理,往年成绩管理,获奖情况管理。
Puppeteer自动化:使用JavaScript定制PDF下载
ip16yun的博客
10-08 918
Puppeteer 是一个强大的Node.js库,提供了对无头Chrome或Chromium的控制,可以用于生成网页快照、抓取数据、自动化测试等任务。其中,生成PDF文件是一个常见的需求,本文将通过使用Puppeteer展示如何自动化生成定制的PDF,并使用代理IP、设置user-agent、cookie等技术来增强自动化过程的灵活性与稳定性。为了更好地理解如何定制Puppeteer生成的PDF文件,我们提供一个生成A4纸张格式的网页PDF的实例。用户可以根据需求自定义输出的PDF格式或内容。
Netty 相比原生IO模型的优势
lssffy的博客
10-09 658
Java提供了多种I/O模型,每种模型都有其适用的场景和特点,随着网络应用需求的变化,I/O模型也在不断发展。阻塞I/O(BIO,Blocking I/O)传统的I/O模型,使用简单,但每次I/O操作都会阻塞线程。每个请求需要独立的线程来处理,这在并发请求较少时问题不大,但在高并发情况下,线程资源将成为瓶颈。非阻塞I/O(NIO,Non-Blocking I/O)引入了多路复用技术,一个线程可以处理多个连接,避免了BIO中每个连接占用一个线程的问题。通过Selector。
JavaSE——认识异常
wx2023_10_15的博客
10-12 945
本文主要是正在学习异常的总结,主要讲了异常的概念、体系结构、分类、处理以及捕获,还有自定义异常类
springboot 用request.setAttribute 传值到控制层
qq56477643的博客
10-09 608
【代码】springboot 用request.setAttribute 传值到控制层。
【网络编程】掌握Java网络编程:深入理解Socket通信与实战技巧
Dylaniou的博客
10-11 1044
Java的网络Socket编程为开发者提供了强大的工具来构建网络通信应用,从简单的客户端-服务器模型到复杂的分布式系统。Java的网络Socket编程为开发者提供了强大的工具来构建网络通信应用,从简单的客户端-服务器模型到复杂的分布式系统。希望本文能帮助您掌握Java网络编程的核心技术,并在实际项目中灵活运用。如果您有任何疑问或想要分享经验,请在评论区留下您宝贵的意见!🚀🌐🔌。
Unsafe 详解
qq_73210658的博客
10-10 2472
学习JUC的过程中发现有一个类很神奇,今天我们就来一起学习一下Unsafe类。
Java基础-基础知识体系小结 Q/A
令狐_JackieHao的博客
10-10 1299
Java基础知识的一些梳理
C++ 的存储类型与新的 thread_local
最新发布
oRbIt 的专栏
10-14 513
存储周期只是一个概念,是程序语义范畴内的东西,但不是语法的范畴。存储类型说明符也被称为存储类型,它们是变量声明语法中类型说明符的一部分,它们和变量名的范围一起控制变量的两个独立属性,即存储周期和链接属性。
JavaScript前端开发技术
Chujun123528的博客
10-12 984
JavaScript前端开发是一个充满挑战和机遇的领域。随着技术的不断进步和用户需求的变化,前端开发者需要不断学习新知识、掌握新技能,以应对日益复杂和多样化的开发需求。同时,注重性能优化和安全实践也是前端开发不可或缺的一部分。通过不断探索和创新,我们可以为用户创造更加优质、高效和安全的Web体验。在JavaScript前端开发的学习过程中,建议从基础语法入手,逐步掌握DOM操作、事件处理、Ajax通信等核心技能。同时,关注最新的前端框架和库的发展动态,尝试将它们应用到实际项目中。
SpringBoot 集成 Redis 总结
SOS5418818845的博客
10-11 495
Redis 是一个开源的内存数据结构存储系统,它可以用作数据库、缓存和消息中间件。Redis 以其高效的性能、丰富的数据结构和简单的 API 而受到广泛关注。它将数据存储在内存中,并可以通过持久化机制将数据保存到硬盘上,以防止数据丢失。
springcloud微服务基本概念
牧风人的博客
10-11 889
微服务架构的4个核心问题 ​ 1.服务很多,客户端怎么访问 ​ 2.这么多的服务,服务之间怎么通信 ​ 3.这么多的服务,怎么统一治理 ​ 4.服务挂了怎么办 解决方案: SpringCloud 生态 1.Spring Cloud NetFlix 一站式解决方案! 但停更了 api网关,zuul组件 Feign---...
Linux线程(十二)线程互斥锁-自旋锁与读写锁详解
Dola的博客
10-10 933
自旋锁与互斥锁很相似,从本质上说也是一把锁,在访问共享资源之前对自旋锁进行上锁,在访问完成后释放自旋锁(解锁);事实上,从实现方式上来说,互斥锁是基于自旋锁来实现的,所以自旋锁相较于互斥锁更加底层。如果在获取自旋锁时,自旋锁处于未锁定状态,那么将立即获得锁(对自旋锁上锁);如果在获取自旋锁时,自旋锁已经处于锁定状态了,那么获取锁操作将会在原地“自旋”,直到该自旋锁的持有者释放了锁。由此介绍可知,自旋锁与互斥锁相似,但是互斥锁在无法获取到锁时会让线程陷入阻塞等待状态;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值