我们使用的是shiro框架进行身份认证/登录,和单点登录系统
1. shiro自带登录过滤器,在拦截到用户未登录的情况下,会重定向到登录页面,不会去拦截登录请求和注册请求
2.如果用户没有帐号,那么他就会去注册一个帐号
注册
3.注册分两种:
1)一种是消费者注册:
1.需要输入:手机号,密码,图形验证码,和短信验证码
短信验证码: 这里的短信平台接口基于中国网建SMS短信平台API,通过第三方API发送短信需要的信息有:1用户注册时的Uid 2)key:短信密钥 3) smsMob:用户接收短信的电话号码 4)smsText:短信内容
图形验证码: 防止恶意机器人注册
2)另一种是经销商注册:
1. 需要输入:手机号,密码,地区,图形验证码,和短信验证码
4.注册还需要校验用户输入的信息是否正确
分为前端校验和后端校验
1.前端校验:主要校验用户输入的信息的格式是否正确,是否满足正则表达式
2.后端校验:1)包括验证信息的格式是否正确,这是因为防止有些人修改源码,跳过前端校验,所以在后端在校验一次,确保数据的安全。2)还要校验手机号在数据库是否重复,如果重复,提示用户手机号已经注册,可以直接登录;如果注册信息正确,手机号没有重复,插入数据库,注册成功,跳转登录页面。
5.这里密码是通过md5加密的,确保用户信息的安全
登录
4.登录:
1)用户通过手机号和密码进行登录
2)使用的sso单点登录系统,作用:在一个系统中登录,在其他信任的系统中就不用登录了
sso
1.单点登录主要用于多系统集成,即在多个系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无须多次登录
2.sso实现思路:
当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份效验,如果通过效验,应该返回给用户是一个使用UUID生成一个唯一的token,用户再访问别的应用的时候,就会将这个token带上,作为自己认证的凭据,应用系统接受到请求之后会把token送到认证系统进行效验,检查token的合法性。如果通过效验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了
3.要实现SSO,需要以下主要的功能:
a) 所有应用系统共享一个身份认证系统;
b) 所有应用系统能够识别和提取token信息;
c) 应用系统能够识别已经登录过的用户,能自动判断当前用户是否登录过,从而完成单点登录的功能
sso具体实现: 1.主要是在serice层进行业务逻辑实现,前端传来登录信息,如果登录成功,使用uuid生成为唯一的token
2.将返回的user 存redis中,平且设置有效期 存放的是键值对形式 key是token,value是user对象的json字符串 (key :"SESSION:" + token ,value:JsonUtils.objectToJson(user))
3.然后将token写入cookie中,通过cookie中的token来查询redis,如果查询到数据,说明登录成功,平且重新修改一下redis中的有效期
5.如果用户忘记密码:,可以点击"密码忘记"来通过手机号来找回密码
6.用户退出: 根据token删除redis中的key
462
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
