05 | 后台登录:基于账号密码的登录方式(下)

于 2022-07-30 12:00:49 发布
阅读量328 收藏 1
点赞数 1
分类专栏: 手把手教你做博客网站 php 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010594957/article/details/126070059
版权

你好, 我是程序猿零壹。

上一篇中,我们一起制作了登录页面,并使用ajax进行数据提交,那提交过来的参数应该怎么接受、处理呢。

Route::get('/login', 'Admin\AuthController@login');
Route::post('/login', 'Admin\AuthController@loginPost');

在routes/web.php文件中,我们定义了上面两条路由。第一条是get方式,用来展示登录页面;第二条是post方式,用来接收用户提交过来的数据。

编辑app/Http/Controllers/Admin/AuthController.php,添加loginPost方方法,内容如下:

<?php
namespace App\Http\Controllers\Admin;
use App\Services\Admin\AuthService;
class AuthController extends BaseController
{
    private $authService;
    public function __construct(AuthService $authService)
    {
        $this->authService = $authService;
    }
​
    public function login(){
        return $this->view('admin/auth/login');
    }
​
    public function loginPost(){
        $params = [
            'username' => request()->input('username',''),
            'password' => request()->input('password',''),
        ];
​
        $response = $this->authService->login($params);
        return $response;
    }
}

这里我们引入了app/Services/AuthService.php这个业务文件,专门用来处理相对应的业务逻辑。AuthService文件的内容如下:

<?php
namespace App\Services\Admin;
use App\Tools\Response\JsonResponse;
/**
 * Created by PhpStorm.
 * User: Administrator
 * Date: 2022/7/26
 * Time: 20:40
 */
class AuthService
{
    public function login($params){
        return JsonResponse::success();
    }
}

现在login函数只有一行代码,用来返回一个json数据给前端页面,以后所有的接口请求,我们都会使用这样的方式来返回数据。新建app/Tools/Resonse/JsonResponse.php文件,内容如下:

<?php
namespace App\Tools\Response;
use App\Constants\ResponseCode;
class JsonResponse
{
    public static function success($data=[],$msg = '操作成功'){
        return response()->json(['code'=> ResponseCode::SUCCESS,'msg'=>$msg,'data'=>$data])->setEncodingOptions(JSON_UNESCAPED_UNICODE);
    }
    public static function fail($msg = ''){
        return response()->json(['code'=> ResponseCode::FAIL,'msg'=>$msg])->setEncodingOptions(JSON_UNESCAPED_UNICODE);
    }
}

新建app/Constants/ResponseCode.php,内容如下:

<?php
declare(strict_types=1);
namespace App\Constants;
class ResponseCode
{
    const SUCCESS = 'success';
    const FAIL = 'fail';
    const ADMIN_LOGOUT = 'admin_logout';
}

到这里,当我们点击登录页面的提交按钮后,会登录成功并跳转到/admin/home/index这个页面,也就是后台首页。

但是上面的步骤中,我们并没有对账号密码进行校验。现在我们就要添加这一步骤了。在这之前,我们先来了解下在laravel框架中,如何与数据库进行交互。

在laravel中,给我们提供一个强大的工具来与数据库进行交互,这就是ORM。每个数据库表都有一个对应的ORM模型用来与之交互,可以通过模型来查询数据库中的数据,以及在数据表中插入和更新数据。

在开始使用ORM之前,我们需要修改.env文件并配置其中跟数据库有关的配置。

配置完上图的数据库配置之后,我们就可以使用ORM与数据库交互了。

不过在这之前,我们需要先完成数据库表的创建。我们需要两张表,一张表取名为accounts,用来存储账号基本信息,例如昵称,头像,性别等信息;另外一张表取名为account_password,用来存储账号密码等信息。创建及插入数据的sql语句如下:

CREATE TABLE `accounts` (
  `account_id` INT(10) UNSIGNED NOT NULL AUTO_INCREMENT,
  `nickname` VARCHAR(50) NOT NULL COMMENT '昵称' COLLATE 'utf8mb4_general_ci',
  `avatar` VARCHAR(255) NOT NULL COMMENT '头像' COLLATE 'utf8mb4_general_ci',
  `sex` TINYINT(3) NOT NULL DEFAULT '3' COMMENT '性别 1-男 2-女 3-未知',
  `status` TINYINT(3) NOT NULL DEFAULT '1' COMMENT '状态  1-启用 2-禁用',
  `created_at` INT(10) NOT NULL DEFAULT '0',
  `updated_at` INT(10) NOT NULL DEFAULT '0',
  PRIMARY KEY (`account_id`) USING BTREE
)
COMMENT='账号表'
COLLATE='utf8mb4_general_ci'
ENGINE=InnoDB
;
INSERT INTO `accounts` (`account_id`, `nickname`, `avatar`, `sex`, `status`, `created_at`, `updated_at`) VALUES
  (1, '零壹', '/static/admin/imgs/avatar.jpg', 3, 1, 1653533903, 1653533903);

CREATE TABLE `account_password` (
  `id` INT(10) NOT NULL AUTO_INCREMENT,
  `account_id` INT(10) NOT NULL DEFAULT '0',
  `name` VARCHAR(50) NOT NULL COLLATE 'utf8mb4_general_ci',
  `passwd` VARCHAR(64) NOT NULL COLLATE 'utf8mb4_general_ci',
  `salt` CHAR(6) NOT NULL DEFAULT '' COLLATE 'utf8mb4_general_ci',
  `created_at` INT(10) NOT NULL DEFAULT '0',
  `updated_at` INT(10) NOT NULL DEFAULT '0',
  PRIMARY KEY (`id`) USING BTREE,
  UNIQUE INDEX `name` (`name`) USING BTREE,
  INDEX `account_id` (`account_id`) USING BTREE
)
COMMENT='账号密码'
COLLATE='utf8mb4_general_ci'
ENGINE=InnoDB
;
INSERT INTO `account_password` (`id`, `account_id`, `name`, `passwd`, `salt`, `created_at`, `updated_at`) VALUES
  (1, 1, 'admin', 'b3de394180907ace8d94611486b0d9aab5f110a8dbda1b28a83277117fa89b30', 'prz6g9', 1653533903, 1653533903);

数据库表现在已经创建好并插入了测试数据

账号:admin 密码:123456

画外音:这个密码简直不要太简单,正式环境建议设置为复杂密码。

接下来我们来创建ORM模型文件。

新建app/Models/BaseModel.php文件,内容如下:

<?php
namespace App\Models;
use Illuminate\Database\Eloquent\Model;
class BaseModel extends Model
{
    public $casts = [];
    public $guarded=[];
​
    public $dateFormat = 'U';
    public $timestamps = true;
}

新建app/Models/AccountModel.php文件,内容如下:

<?php
namespace App\Models;
class AccountModel extends BaseModel
{
    public $table = 'accounts';
    public $primaryKey = 'account_id';
}

新建app/Models/AccountPasswordModel.php文件,内容如下:

<?php
namespace App\Models;
class AccountPasswordModel extends BaseModel
{
    public $table = 'account_password';
    public $primaryKey = 'id';
}

好了,现在ORM模型文件都已经创建完毕了。那要怎么使用呢?我们接着往下看。

新建app/Tools/Common/AuthTool.php,内容如下:

<?php
namespace App\Tools\Common;
​
class AuthTool
{
    public static function generateSalt($saltLength=6){
        $str = '23456789abcdefghijkmnpqrstuvwxyz';
        $length = strlen($str);
        $str = str_split($str);
        $lastPosition = $length-1;
        $salt = '';
        for($i=0;$i<$saltLength;$i++) {
            $rand = rand(0, $lastPosition);
            $salt .= $str[$rand] ?? 'a';
        }
        return $salt;
    }
​
    public static function encryptPassword($pwd, $salt=''){
        $password = hash('sha256',md5($pwd).$salt);
        return $password;
    }
}

修改app/Services/AuthService.php的login函数,内容如下:

<?php
namespace App\Services\Admin;
use App\Models\AccountModel;
use App\Models\AccountPasswordModel;
use App\Tools\Common\AuthTool;
use App\Tools\Response\JsonResponse;
​
class AuthService
{
    public function login($params){
        if(empty($params['username']) || empty($params['password'])) {
            return JsonResponse::fail('登录失败,账号不存在或者密码错误');
        }
        $accountPassword = AccountPasswordModel::query()
            ->select(['name','passwd','salt','account_id'])
            ->where(['name'=>$params['username']])
            ->first();
        if(empty($accountPassword)) {
            return JsonResponse::fail('登录失败,账号不存在或者密码错误');
        }
        $encryptPassword = AuthTool::encryptPassword($params['password'], $accountPassword['salt']);
        if($encryptPassword != $accountPassword['passwd']) {
            return JsonResponse::fail('登录失败,账号不存在或者密码错误');
        }
​
        $account = AccountModel::query()
            ->select(['account_id'])
            ->where(['account_id'=>$accountPassword['account_id']])
            ->first();
        if(empty($account)) {
            return JsonResponse::fail('登录失败,账号不存在或者密码错误');
        }
        request()->session()->put('admin_login_user_id',$account['account_id']);
        return JsonResponse::success();
    }
}

下面,我们对login这个函数来做一个拆解说明。

$accountPassword = AccountPasswordModel::query()
            ->select(['name','passwd','salt','account_id'])
            ->where(['name'=>$params['username']])
            ->first();

上面语句使用的是连贯操作,从account_password表查询一条name为admin的记录,相当于mysql语句:

select name,passwd,salt,account_id from account_password where name='admin' limit 1;

如果没有查找到记录,说明账号不存在,返回错误提示;如果查找到记录,说明账号存在,获取到$accountPassword ,需要进行密码校验。

将用户提交的密码123456使用AuthTool的encryptPassword函数进行加密后得到$encryptPassword变量,将$encryptPassword 与 $accountPassword['passwd']进行对比,如果相同,则表示密码校验通过;如果不同,则表示密码校验不通过,返回错误提示。

然后根据$accountPassword['account_id']到account表查找对应账号信息。

如果账号信息存在,则登录成功,否则返回错误提示。

// select account_id,name,avatar from accounts where account_id = 1 limit 1;
$account = AccountModel::query()
            ->select(['account_id','nickname','avatar'])
            ->where(['account_id'=>$accountPassword['account_id']])
            ->first();

将下来,我们需要将账号信息保存到session,并返回操作成功给前端页面,前端接收到后端返回的数据后,判断登录成功,将跳转到后台首页,否则弹窗提示错误信息。到此,登录操作完成。

 request()->session()->put('admin_login_user_id',$account['account_id']);

session,也叫会话控制,用来存储特定用户会话所需要的属性及配置信息。当用户在不同的页面跳转的时候,存储在session对象中的变量或者数据将不会丢失,而是在整个会话中一直存在下去。有关session的详细信息,请自行百度查阅,或者在关注公众号菜单回复session,即可查看相关文章。

今天我们一起完成了整个登录操作,有点意犹未尽的感觉。下一篇我们将来创建一个带有头部和左侧菜单栏的公共页面。

敬请期待!

欢迎关注

最后,欢迎大家关注我的公众号呀 。打开微信搜索程序猿零壹公众号即可关注,希望能与大家共同进步。

程序员零壹
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
五花八门的后台登录方式
weixin_33963594的博客
02-23 316
2019独角兽企业重金招聘Python工程师标准>>> ...
如何设计用户登录
weixin_34122548的博客
08-18 582
2019独角兽企业重金招聘Python工程师标准>>> ...
某平台后台系统存在任意账号密码重置漏洞
李熠专用博客_白帽子一枚,人称低危终结者
11-02 1691
漏洞发现 进入该后台地址,发现有忘记密码入口 点击进入“忘记密码页面”,随手输入admin,显示出了 隐藏的手机号,需要发送验证码才能重置密码。 我的专业性告诉我,这里可能存在任意密码重置漏洞,于是尝试利用。 漏洞利用 点击“发送验证码”按钮,随便输入验证码和密码 ,此时,我并不知道验证码是多少位的,理论上,少于5位都容易被破解。于是我利用BurpSuit抓包,先尝试4位数的验证码,并且爆破。 由于成功失败返回内容长度一样,当时不知道是否爆破成功,等待片刻,输入重置的密码,发现可以登录。 漏洞危害
04 | 后台登录:基于账号密码登录方式(上)
程序猿零壹的博客
07-28 2868
手把手地教你怎么样搭建一个属于自己的博客网站。
前端登录密码加密传输
weixin_30722589的博客
07-25 2839
在HTTPS还没有普及的时候,前端采用HTTP协议,登录用户名和密码在不做任何控制的情况下是明文传输的,大量的网站都需要登录,大量的人使用同样的用户名和密码。 目的:防止登录密码名文传输(仅仅只是防止明文传输,加密效果取决于key,而key对于前台是透明的) 方式:前端页面用js加密前端登录密码,采用AES对称加密 一、前端JS加密库crypto-js 因为懒,所以直接引入整个加密库,可以...
ThinkAdmin:基于ThinkPHP基础开发平台(登录账号密码都是admin)
02-21
非常感谢大家一直以来对ThinkAdmin的支持, ThinkAdmin从v1至v6经历了几次大的调整,但总体上都是基于ThinkPHP最新版本为核心在开发,以微信领域及最简幕为目标在设计中。 由于现有功能并不能满足所有项目的需求, ...
易语言账号密码登录系统
03-24
“易语言账号密码登录系统”是一个基于易语言开发的简单登录界面,旨在为用户提供安全、便捷的账号验证服务。该系统通常包括用户输入界面、数据验证、数据库交互等关键部分,确保用户能够正确、安全地登录到系统中。...
短信验证登录,基于mob后台,短信验证码
09-01
在“短信验证登录,基于mob后台,短信验证码”这个项目中,`资料.txt`文件可能包含了详细的步骤、代码示例或者API文档,用于指导开发者如何集成Mob的短信验证服务到自己的应用中。这可能包括安装SDK、初始化SDK、...
management-system:基于element和vue的后台管理系统框架架〜| 后台管理系统
03-11
基于element和vue的后台管理系统框架架〜 如何使用 npm install或npm i npm服务或npm dev 账号和密码点击输入框会自动出现四个角色,任意任意一个角色进行登录。 联系我们 邮箱 执照
基于Node.js+MySQL实现前后端用户登录注册【100012413】
最新发布
05-24
在本项目"基于Node.js+MySQL实现前后端用户登录注册"中,我们将深入探讨如何构建一个完整的用户管理系统,包括用户登录和注册的核心功能。这个项目是针对100012413号课程设计的,它涵盖了Web开发中的两个重要技术...
后台系统登录一般流程
qq_33348135的博客
02-25 7874
登录整个流程 1.异步请求后端得到验证码(生成验证码的答案后存入redis,uuid作为key),验证码图片以base64的编码和uuid返回前端 2.根据用户名和密码、验证码值、uuid传递到后端,为了效率,先判断验证码值是否正确,正确的话,再根据用户名和密码去数据库进行匹配,匹配时,查询用户表、部门表、用户与角色的关联表、角色表获取当中的有用字段信息,再使用用户id去查询权限表、角色权限关联表、用户角色关联表、角色表(因其中功能涉及角色、权限状态) 返回权限标识如(system:role:edit多个的
后台管理系统——登录功能
socaicaicaicai的博客
11-18 2873
登录功能 1. 根据UI图完成页面编写 页面支持登录方式 账号登录包括用户名, 密码 ,图形验证码 ,短信验证码 账号登录形式为表单 // html <template> <el-form class="loginForm" :model="loginForm" :rules="loginRules" ref="loginForm" auto-complete="on"> <!-- 此处为后台管理系统的logo --> <div cl
任意密码登录——密码找回漏洞
记录并分享学习安全的知识点..
04-15 1347
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保。 一、漏洞存在的点 密码找回的凭证太弱,如只需要填入一个四位或者六位的纯数字就可以重置密码,导致可以暴力破解。 密码找回凭证可从客户端直接获取。 密码找回凭证在页面中可以直接获取。 密码找回凭证存并非只是与单个用户并绑定的问题。 密码找回凭证存并非只是与单个用户并绑定的问题。 用户找回密码的邮箱地址或者手机号码被修改。 在最后提交修改的密码处的逻辑错误。 二、漏洞复现 (一)密码找回凭证存放在cookie中 1.点击.
后台管理系统的登陆验证功能
热门推荐
就要逆风飞翔!!!
05-18 2万+
实现后台管理系统的登陆验证     简单来说登陆验证有两种实现方式:            1.通过ajax进行验证;                                                                  2.通过from表单提交进行验证;    这里就先介绍一下通过ajax进行登陆验证的方法。            首先在登陆验证的页面上,给
用户登录页面以及后台方法、拦截器
扬帆向海的博客
11-27 8557
这篇博客实现了用户登录,包含完整的前台页面及其后台方法。
登录系统保存账号密码后,当录入表单时会自动填充到表单的账号密码解决方案
筑梦人的博客
05-22 4072
在input框中加入:readonly onfocus="this.removeAttribute('readonly');"即可以解决此问题. 例如: <el-form-item label="邮箱" prop="username"> <el-input placeholder="请输入邮箱" v-model="re...
php后台万能登陆密码,各类网站后台万能密码整理
weixin_34461414的博客
03-20 5012
各类网站后台万能密码整理2018-12-18adminadminadminadmin888asp aspx万能密码1:"or "a"="a2: ")or("a"="a3:or 1=1--4:"or 1=1--5:a"or" 1=1--6:"or 1=1--7:"or"a"="a8:"or"="a"="a9:"or""="10:"or"="or"11: 1 or "1"="1"=112: 1 or ...
管理后台登入万能密码合集
安全界的彭于晏的博客
06-24 2894
1.asp aspx万能密码 1: "or "a"="a 2: ')or('a'='a 3:or 1=1-- 4:'or 1=1-- 5:a'or' 1=1-- 6: "or 1=1-- 7:'or'a'='a 8: "or"="a'='a 9:'or''=' 10:'or'='or' 11: 1 or '1'='1'=1 12: 1 or '1'='1' or 1=1 13: 'OR 1=1%00 1
EL-ADMIN后台管理系统详解:基于SpringBoot的高效开发框架
Eladmin是一个基于现代技术栈构建的高效、功能丰富的后台管理系统。它采用Spring Boot 2.1.0、Spring Boot JPA、JWT(JSON Web Tokens)、Spring Security、Redis、Vue.js以及Element-UI作为前端框架。该项目的设计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值