1. 发送手机验证码:
提交手机号-检验手机号-生成验证码->保存到session->发送验证码
public Result sendCode(String phone, HttpSession session) {
// 1.校验手机号
Boolean phoneInvalid = RegexUtils.isPhoneInvalid(phone);
// 2.如果不符合,返回错误信息
if (!phoneInvalid) {
return Result.fail("手机号不正确");
}
// 3.符合,生成验证码
String code = RandomUtil.randomNumbers(6);
// 4.保存验证码到 session
session.setAttribute("code",code);
// 5.发送验证码
log.info("短信验证码:{}",code);
// 返回ok
return Result.ok();
}
View Code
2. 短信验证登陆
提交手机号和验证码-校验验证码-根据手机号查询用户-存在保存到session
-不存在创建新用户,保存在数据库-存入session
@Override
public Result login(LoginFormDTO loginForm, HttpSession session) {
// 1.校验手机号
String phone = loginForm.getPhone();
// 2.如果不符合,返回错误信息
if(phone!=null&&phone.equals(session.getAttribute("phone"))){
return Result.fail("cuowu");
}
// 检验code
String code = (String) session.getAttribute("code");
if (code==null || !code.equals(loginForm.getCode())) {
return Result.fail("cuowu");
}
// 4.一致,根据手机号查询用户 select * from tb_user where phone = ?
User user = query().eq("phone", phone).one();
// 5.判断用户是否存在
if(user==null){
// 6.不存在,创建新用户并保存
user = createUserWithPhone(phone);
}
//保存进session
session.setAttribute("user",user);
// 6.返回
return Result.ok();
}
View Code
3. 校验登陆状态
请求携带cookie -从session获取用户-判断用户是否存在-存在保存用户到Threadlocal
- 不存在拦截
问: 为什么是Threadlocal
每一个用户访问我们的服务,都是一个独立的线程,每个线程都有自己独立的存储空间
拦截登陆需要一个拦截器
public class LoginInterceptor implements HandlerInterceptor {
private StringRedisTemplate stringRedisTemplate;
public LoginInterceptor(StringRedisTemplate stringRedisTemplate) {
this.stringRedisTemplate = stringRedisTemplate;
}
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// // 获取session
// HttpSession session = request.getSession();
// //2、 获取session的user
// UserDTO user = (UserDTO) session.getAttribute("user");
//从报文头中获取token
String token = request.getHeader("authorization");
//判断token是否为空,
if (StrUtil.isBlank(token)) {
//4. 不存在,拦截
response.setStatus(401);
return false;
}
//从redis中获取用户 如何获取stringRedisTemplate,如何获取hash的用户
Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(LOGIN_USER_KEY + token);
//3. 判断用户是否存在
if (userMap == null || userMap.isEmpty()) {
//4. 不存在,拦截
response.setStatus(401);
return false;
}
//将Hashmap 转化为dto
UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap,new UserDTO(),false);
//5. 存在放在ThreadLocal中
UserHolder.saveUser(userDTO);
//刷新有效期
stringRedisTemplate.expire(LOGIN_USER_KEY+token,LOGIN_USER_TTL,TimeUnit.MINUTES);
//6.放行
return true;
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
UserHolder.removeUser();
}
}
View Code
新增的拦截器写完,但是还没有生效,需要去配置拦截器,并放过一些不需要拦截的请求。
@Configuration
public class MvcConfig implements WebMvcConfigurer {
@Resource
StringRedisTemplate stringRedisTemplate;
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new LoginInterceptor(stringRedisTemplate))
.excludePathPatterns(
"/user/code",
"/user/login",
"/shop/**",
"/blog/hot",
"/upload/**",
"/shop-type/**",
"/voucher/**"
);
registry.addInterceptor(new RefreshTokenInterceptor(stringRedisTemplate)).addPathPatterns("/**");
}
}
View Code
3. 用户信息脱敏
由于用户信息user存在session中被全部返回前端,暴露了客户隐私信息,存在session也造成了存储压力,定义UserDTO,只保存有需要的信息。
4. 当服务使用集群时,存在session共享问题,sessions是存在tomcat中,多台tomcat的session不共存。 这时我们需要换一种替代的方式,替代品需要以下特点:
共享、高性能(使用频率很高所以,所以读写速度要快)、高可用、key-value结构 ======》redis
存储在公共空间又需要保证每个用户唯一key,且客户端需要能够携带。一般是随机的字符串token作为登陆凭证
保存对象到redis 也需要考虑使用什么数据结构,String类型即将对象转化为json字符串存,有点是直观,缺点是更新需要全部更新,且占用内存比hash大
hash 可以对对象的每个字段单独存储,可以对单条属性CRUD,且占用内存小
@Override
public Result login(LoginFormDTO loginForm, HttpSession session) {
// 1.校验手机号
String phone = loginForm.getPhone();
// 2.如果不符合,返回错误信息
if(!RegexUtils.isPhoneInvalid(phone)){
return Result.fail("cuowu");
}
// 检验code
// String code = (String) session.getAttribute("code");
String code = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY + phone);
if (code==null || !code.equals(loginForm.getCode())) {
return Result.fail("cuowu");
}
// 4.一致,根据手机号查询用户 select * from tb_user where phone = ?
User user = query().eq("phone", phone).one();
// 5.判断用户是否存在
if(user==null){
// 6.不存在,创建新用户并保存
user = createUserWithPhone(phone);
}
// //保存进session
// session.setAttribute("user",BeanUtil.copyProperties(user,UserDTO.class));
//保存进redis中
//生成随机token
String token = UUID.randomUUID().toString(true);
UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
Map<String, Object> userMap = BeanUtil.beanToMap(userDTO,new HashMap<>(),CopyOptions.create()
.setIgnoreNullValue(true).setFieldValueEditor((filedName,fileValue)-> fileValue.toString()));
String tokenKey = LOGIN_USER_KEY+token;
stringRedisTemplate.opsForHash().putAll(tokenKey,userMap);
//设置有效期
stringRedisTemplate.expire(tokenKey,LOGIN_USER_TTL,TimeUnit.MINUTES);
// 6.返回
return Result.ok(token);
}
View Code
思考:当登陆token 设置了过期时间,如何进行刷新? 用户任何的操作都应该刷新token。 新增一层拦截器,拦截所有请求,并刷新token
public class RefreshTokenInterceptor implements HandlerInterceptor {
private StringRedisTemplate stringRedisTemplate;
public RefreshTokenInterceptor(StringRedisTemplate stringRedisTemplate) {
this.stringRedisTemplate = stringRedisTemplate;
}
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 1.获取请求头中的token
String token = request.getHeader("authorization");
if (StrUtil.isBlank(token)) {
return true;
}
// 2.基于TOKEN获取redis中的用户
String key = LOGIN_USER_KEY + token;
Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(key);
// 3.判断用户是否存在
if (userMap.isEmpty()) {
return true;
}
// 5.将查询到的hash数据转为UserDTO
UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);
// 6.存在,保存用户信息到 ThreadLocal
UserHolder.saveUser(userDTO);
// 7.刷新token有效期
stringRedisTemplate.expire(key, LOGIN_USER_TTL, TimeUnit.MINUTES);
// 8.放行
return true;
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
// 移除用户
UserHolder.removeUser();
}
}
View Code
总结:
使用redis的时候需要使用适当的数据结构。
redis的数据需要设置过期时间,否则无限增加会占据内存。
短信登录功能主要用到redis里的几种数据结构,其中String类型用于存储服务器生成的验证码,Hash用于存储用户的基本信息。这里存储的不需要是用户的完整信息,可以通过声明一个类,里面只有用户的最重要的信息就行。还需要设置这些键值对的过期时间,防止redis内存被占满的情况。还需要通过拦截器拦截用户的请求,以便更新用户信息的有效时间,防止用户在操作过程中信息过期。
标签:code,演变,phone,token,session,user,stringRedisTemplate,登陆 From: https://www.cnblogs.com/kisshappyboy/p/16928532.html