使用Redis实现短信登入的流程
发送短信验证码流程
校验登录流程
与之前使用Session登入相比,流程发生了比较大的变化。
总的来说有以下几点:
(1)之前的生成验证码后,我们会将其存放在Session中,每一个不同的请求就会对应一个Session,它们的SessionID肯定是唯一的;而现在是存在Redis中,它的key肯定不能是简单的指定"code",所以我们使用手机号作为key,验证码作为value,这样保证key的唯一性。
(2)登入注册的时候创建用户(已有用户),用户信息需要保存到Redis中,此时的key建议用一个随机的token(建议不要用手机号码,因为之后这个token会传入前端,有泄露风险!),value存放用户信息。所以这里返回token给客户端(浏览器),为的就是之后在校验的时候可以拿着token去Redis中取数据进行校验!
(3)最开始的登入校验,之前是Session与Cookie,当使用了Session,它会自动将SessionID传入Cookie中,每次请求都会携带Cookie,就相当于带着SessionID去查找用户。而现在是用请求中携带的token去Redis中获取用户数据。
分步实现发送短信登入
(1)发送短信验证码
与之前Session的方式基本一致,只是在保存验证码的时候是保存到Redis中。
UserService
@Override
public Result sendCode(String phone, HttpSession session) {
//1. 校验手机号
if (RegexUtils.isPhoneInvalid(phone)) {
//2.如果不符合,返回错误信息
return Result.fail("手机号格式错误");
}
//3. 符合,生成验证码
String code = RandomUtil.randomNumbers(6);
//4. 保存验证码到Redis
// 可以加上一个业务前缀来区分
// 设置验证码的有效期 Redis的key有效期
// ("login:code:" + phone,code,2, TimeUnit.MINUTES)
stringRedisTemplate.opsForValue().set(LOGIN_CODE_KEY + phone,code, LOGIN_CODE_TTL, TimeUnit.MINUTES);
//5. 发送验证码
log.debug("发送短信验证码成功,验证码:{}",code);
//返回ok
return Result.ok();
}上述代码使用到了一些常量,我们这里是用一个工具类RedisConstants 去声明一些常量。
public class RedisConstants {
public static final String LOGIN_CODE_KEY = "login:code:";
public static final Long LOGIN_CODE_TTL = 2L;
public static final String LOGIN_USER_KEY = "login:token:";
public static final Long LOGIN_USER_TTL = 36000L;
public static final Long CACHE_NULL_TTL = 2L;
public static final Long CACHE_SHOP_TTL = 30L;
public static final String CACHE_SHOP_KEY = "cache:shop:";
public static final String LOCK_SHOP_KEY = "lock:shop:";
public static final Long LOCK_SHOP_TTL = 10L;
public static final String SECKILL_STOCK_KEY = "seckill:stock:";
}(2)短信登入、注册
需要改动的东西较多。
- 首先我们需要从Redis中获取验证码,并进行校验;
- 然后要将用户信息与随机生成的token一起存放到redis中;
- 最后再设置一下token的有效期。
UserService
@Override
public Result login(LoginFormDTO loginForm, HttpSession session) {
//1. 校验手机号
String phone = loginForm.getPhone();
if (RegexUtils.isPhoneInvalid(phone)) {
return Result.fail("手机号格式错误");
}
//2. 从redis获取验证码并校验
String cacheCode = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY + phone);
String code = loginForm.getCode();
if (cacheCode == null || !cacheCode.toString().equals(code)){
//3. 不一致,报错
return Result.fail("验证码错误");
}
//4.一致,根据手机号查询用户
User user = query().eq("phone", phone).one();
//5. 判断用户是否存在
if (user == null){
//6. 不存在,创建新用户
user = createUserWithPhone(phone);
}
//7.保存用户信息到redis
//7.1 生成随机token作为登入令牌
String token = UUID.randomUUID().toString(true);
//7.2 将User对象作为HashMap存储
UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
// 注意!!!
// 这里要是数据不处理会报错,UserDTO中有long类型的数据,
//而后面stringRedisTempalte中的数据要求是必须string类型的才可以!!!
Map<String, Object> userMap = BeanUtil.beanToMap(userDTO,new HashMap<>(),
CopyOptions.create().setIgnoreNullValue(true).setFieldValueEditor((fileName,fileValue) -> fileValue.toString()));
//7.3 存储
String tokenKey = LOGIN_USER_KEY + token;
stringRedisTemplate.opsForHash().putAll(tokenKey,userMap);
//7.4设置token的有效期
stringRedisTemplate.expire(tokenKey,LOGIN_USER_TTL,TimeUnit.MINUTES);
//8.返回token
return Result.ok(token);
}创建用户
private User createUserWithPhone(String phone) {
// 1.创建用户
User user = new User();
user.setPhone(phone);
user.setNickName(USER_NICK_NAME_PREFIX + RandomUtil.randomString(10));
// 2.保存用户
save(user);
return user;
}这里提到了一个token的概念,那什么是token呢?
Token简介
所谓的Token,其实就是服务端生成的一串加密字符串、以作客户端进行请求的一个“令牌”。
当用户第一次使用账号密码成功进行登录后,服务器便生成一个Token及Token失效时间并将此返回给客户端;若成功登陆,以后客户端只需在有效时间内带上这个Token前来请求数据即可,无需再次带上用户名和密码。
我们这里是将token放在请求头中进行传递!
在common.js中代码如下:
// request拦截器,将用户token放入头中
let token = sessionStorage.getItem("token");
axios.interceptors.request.use(
config => {
if(token) config.headers['authorization'] = token
return config
},
error => {
console.log(error)
return Promise.reject(error)
}
)这里请求头是authorization,在后面 RefreshTokenInterceptor 拦截器中有用到!
(3)校验登入状态
MvcConfig
@Configuration
public class MvcConfig implements WebMvcConfigurer {
@Autowired
private LoginInterceptor loginInterceptor;
@Autowired
private RefreshTokenInterceptor refreshTokenInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
// 登录拦截器
registry.addInterceptor(loginInterceptor)
.excludePathPatterns(
"/shop/**",
"/voucher/**",
"/shop-type/**",
"/upload/**",
"/blog/hot",
"/user/code",
"/user/login"
).order(1);
// token刷新的拦截器
registry.addInterceptor(refreshTokenInterceptor)
.addPathPatterns("/**").order(0);
}
}
LoginInterceptor
@Component
public class LoginInterceptor implements HandlerInterceptor {
// 基于Redis设置的拦截器
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//判断是否要拦截
if (UserHolder.getUser() == null) {
response.setStatus(401);
return false;
}
//有用户,放行
return true;
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
//移除用户
UserHolder.removeUser();
}
}RefreshTokenInterceptor
这里使用request.getHeader() 获取请求头,通过authorization拿到token。
@Component
public class RefreshTokenInterceptor implements HandlerInterceptor {
@Autowired
private StringRedisTemplate stringRedisTemplate;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 1.获取请求头中的token
String token = request.getHeader("authorization");
if (StrUtil.isBlank(token)) {
return true;
}
// 2.基于TOKEN获取redis中的用户
String key = LOGIN_USER_KEY + token;
Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(key);
// 3.判断用户是否存在
if (userMap.isEmpty()) {
return true;
}
// 5.将查询到的hash数据转为UserDTO
UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);
// 6.存在,保存用户信息到 ThreadLocal
UserHolder.saveUser(userDTO);
// 7.刷新token有效期
stringRedisTemplate.expire(key, LOGIN_USER_TTL, TimeUnit.MINUTES);
// 8.放行
return true;
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
// 移除用户
UserHolder.removeUser();
}
}
这里使用了两个拦截器的原因如下
先看这一张图,这是我们之前的方案,只用一个拦截器,拦截的是需要做登入校验的路径。
但是问题来了!如果用户登入后,访问的都是无需登入就可以看的页面,也就是说这个拦截器不生效!而token有效期就不会刷新!当有效期一到就会自动登出!
如何解决?
使用 LoginInterceptor 来拦截所有请求,使用RefreshTokenInterceptor 拦截登入的路径。
完整代码实现
链接:https://pan.baidu.com/s/1qeUeCcN3cvBH79p6WJu2tA
提取码:95yj
--来自百度网盘超级会员V4的分享