基于session实现短信登陆
1. 发送手机验证码:
提交手机号-检验手机号-生成验证码->保存到session->发送验证码
public Result sendCode(String phone, HttpSession session) { // 1.校验手机号 Boolean phoneInvalid = RegexUtils.isPhoneInvalid(phone); // 2.如果不符合,返回错误信息 if (!phoneInvalid) { return Result.fail("s手机号不正确"); } // 3.符合,生成验证码 String code = RandomUtil.randomNumbers(6); // 4.保存验证码到 session session.setAttribute("code",code); // 5.发送验证码 log.info("短信验证码:{}",code); // 返回ok return Result.ok(); }
2. 短信验证登陆
提交手机号和验证码-校验验证码-根据手机号查询用户-存在保存到session
-不存在创建新用户,保存在数据库-存入session
@Override public Result login(LoginFormDTO loginForm, HttpSession session) { // 1.校验手机号 String phone = loginForm.getPhone(); // 2.如果不符合,返回错误信息 if(phone!=null&&phone.equals(session.getAttribute("phone"))){ return Result.fail("cuowu"); } // 检验code String code = (String) session.getAttribute("code"); if (code==null || !code.equals(loginForm.getCode())) { return Result.fail("cuowu"); } // 4.一致,根据手机号查询用户 select * from tb_user where phone = ? User user = query().eq("phone", phone).one(); // 5.判断用户是否存在 if(user==null){ // 6.不存在,创建新用户并保存 user = createUserWithPhone(phone); } //保存进session session.setAttribute("user",user); // 6.返回 return Result.ok(); }
3. 校验登陆状态
请求携带cookie -从session获取用户-判断用户是否存在-存在保存用户到Threadlocal
- 不存在拦截
问: 为什么是Threadlocal
每一个用户访问我们的服务,都是一个独立的线程,每个线程都有自己独立的存储空间
拦截登陆需要一个拦截器:
public class LoginInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 获取session HttpSession session = request.getSession(); //2、 获取session的user Object user = session.getAttribute("user"); //3. 判断用户是否存在 if (user == null) { //4. 不存在,拦截 response.setStatus(401); return false; } //5. 存在放在ThreadLocal中 UserHolder.saveUser(user); //6.放行 return true; } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { UserHolder.removeUser(); } }
新增的拦截器写完,但是还没有生效,需要去配置拦截器,并放过一些不需要拦截的请求。
@Configuration public class MvcConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new LoginInterceptor()) .excludePathPatterns( "/user/code", "/user/login", "/shop/**", "/blog/hot", "shop-type/**", "/voucher/**" ); } }
3. 用户信息脱敏
由于用户信息user存在session中被全部返回前端,暴露了客户隐私信息,存在session也造成了存储压力,定义UserDTO,只保存有需要的信息。
4. 当服务使用集群时,存在session共享问题,sessions是存在tomcat中,多台tomcat的session不共存。 这时我们需要换一种替代的方式,替代品需要以下特点:
共享、高性能(使用频率很高所以,所以读写速度要快)、高可用、key-value结构 ======》redis
存储在公共空间又需要保证每个用户唯一key,且客户端需要能够携带。一般是随机的字符串token作为登陆凭证
保存对象到redis 也需要考虑使用什么数据结构,String类型即将对象转化为json字符串存,有点是直观,缺点是更新需要全部更新,且占用内存比hash大
hash 可以对对象的每个字段单独存储,可以对单条属性CRUD,且占用内存小
@Override public Result login(LoginFormDTO loginForm, HttpSession session) { // 1.校验手机号 String phone = loginForm.getPhone(); // 2.如果不符合,返回错误信息 if(RegexUtils.isPhoneInvalid(phone)){ return Result.fail("cuowu"); } // 检验code // String code = (String) session.getAttribute("code"); String code = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY + phone); if (code==null || code.equals(loginForm.getCode())) { return Result.fail("cuowu"); } // 4.一致,根据手机号查询用户 select * from tb_user where phone = ? User user = query().eq("phone", phone).one(); // 5.判断用户是否存在 if(user==null){ // 6.不存在,创建新用户并保存 user = createUserWithPhone(phone); } // //保存进session // session.setAttribute("user",BeanUtil.copyProperties(user,UserDTO.class)); //保存进redis中 //生成随机token String token = UUID.randomUUID().toString(true); UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class); Map<String, Object> userMap = BeanUtil.beanToMap(userDTO); String tokenKey = LOGIN_USER_KEY+token; stringRedisTemplate.opsForHash().putAll(tokenKey,userMap); //设置有效期 stringRedisTemplate.expire(tokenKey,LOGIN_USER_TTL,TimeUnit.MINUTES) // 6.返回 return Result.ok(); }
6. redis 的key越来越多需要设置过期时间, 给token设置过期时间, 这里有两个问题:1 . stringRedisTemplate 如何注入。 2. 如何取到redis Hash接口的对象。
public class LoginInterceptor implements HandlerInterceptor { private StringRedisTemplate stringRedisTemplate; public LoginInterceptor(StringRedisTemplate stringRedisTemplate) { this.stringRedisTemplate = stringRedisTemplate; } @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // // 获取session // HttpSession session = request.getSession(); // //2、 获取session的user // UserDTO user = (UserDTO) session.getAttribute("user"); //从报文头中获取token String token = request.getHeader("authorization"); //判断token是否为空, if (StrUtil.isBlank(token)) { //4. 不存在,拦截 response.setStatus(401); return false; } //从redis中获取用户 如何获取stringRedisTemplate,如何获取hash的用户 Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(LOGIN_USER_KEY + token); //3. 判断用户是否存在 if (userMap == null || userMap.isEmpty()) { //4. 不存在,拦截 response.setStatus(401); return false; } //将Hashmap 转化为dto UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap,new UserDTO(),false); //5. 存在放在ThreadLocal中 UserHolder.saveUser(userDTO); //刷新有效期 stringRedisTemplate.expire(LOGIN_USER_KEY+token,LOGIN_USER_TTL,TimeUnit.MINUTES); //6.放行 return true; } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { UserHolder.removeUser(); } }
7. 后续的持续的界面操作需要刷新过期时间避免使用中过期,那么什么时候刷新呢,仅在需要登陆的位置刷新吗? 所有的页面操作都是需要刷新的。怎么做呢,加一层拦截器,所有操作都刷新登陆信息。
思路,添加一个拦截所有请求的拦截器用来重置token过期时间,
public class RefreshTokenInterceptor implements HandlerInterceptor { private StringRedisTemplate stringRedisTemplate; public RefreshTokenInterceptor(StringRedisTemplate stringRedisTemplate) { this.stringRedisTemplate = stringRedisTemplate; } @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 1.获取请求头中的token String token = request.getHeader("authorization"); if (StrUtil.isBlank(token)) { return true; } // 2.基于TOKEN获取redis中的用户 String key = LOGIN_USER_KEY + token; Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(key); // 3.判断用户是否存在 if (userMap.isEmpty()) { return true; } // 5.将查询到的hash数据转为UserDTO UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false); // 6.存在,保存用户信息到 ThreadLocal UserHolder.saveUser(userDTO); // 7.刷新token有效期 stringRedisTemplate.expire(key, LOGIN_USER_TTL, TimeUnit.MINUTES); // 8.放行 return true; } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { // 移除用户 UserHolder.removeUser(); } }
