Spring MVC系列(二):忘记密码功能实现

最近为认证系统添加了忘记密码功能，使用了Spring提供的邮件API和Ehchace缓存验证码。整个过程还是挺有趣，值得写一下。

Spring邮件API

Sprin提供了一个强大方便的邮件API,简化了发送邮件的工作。可以发送富文本邮件，添加附件，使用模板渲染邮件内容。推荐看Spring实战(第三版)，这里只简单讲一下如何发送富文本邮件，其他的就不细讲了。

配置邮件发送器

Spring邮件API的核心是MailSender接口，Spring自带JavaMailSenderImpl实现了MailSender接口，所以需要将JavaMailSenderImpl装配到Bean中。

Mail.xml

    
    
        
            
                classpath:Mail.properties
            
        
    
    
    
        
        
        
        
        
        
            
                ${mail.smtp.auth}
                ${mail.smtp.timeout}
            
        
    

Mail.properties

使用QQ的邮件服务器，需要在QQ邮箱设置中开启STMP服务

[email protected]
mail.host=smtp.qq.com
mail.port=25
mail.username=675742730  
mail.password=*********
mail.smtp.auth=true  
mail.smtp.timeout=25000  

Main.Java

这只是简单的构造了一个带有链接的邮件，其他更复杂的用法就不介绍了。

public class Main {

    public static void main(String[] args) {
        ApplicationContext context = new ClassPathXmlApplicationContext( "Mail.xml");
        JavaMailSenderImpl sender = (JavaMailSenderImpl)context.getBean("mailSender");
        //构建邮件
        MimeMessage message=sender.createMimeMessage();
        try {
            //使用MimeMessageHelper构建Mime类型邮件
            MimeMessageHelper helper= new MimeMessageHelper(message,true);
            helper.setFrom("[email protected]");
            helper.setTo("[email protected]");
            message.setSubject("Spring Mail Test");
            //第二个参数true表明信息类型是multipart类型
            helper.setText("你好",true);
            sender.send(message);
        } catch (MessagingException e) {
            throw new RuntimeException("邮件构造失败");
        }
    }
}

至此一封邮件就发送出去了，可以坐等收件人查看了。

Ehcache缓存

Spring中内置了对Ehcache的支持，封装了EhCacheCacheManager，可以很方便的使用Ehcache。

配置CacheManager

ehcache.xml

Ehcache的配置文件，这里配置一个名为CodeCache的chahe用于保存验证码。

Main.java

Ehcache的基本用法。

public class Main {

    public static void main(String[] args) {
        ApplicationContext context = new ClassPathXmlApplicationContext( "auth-cache.xml");
        //得到缓存管理器
        EhCacheCacheManager cacheManager = (EhCacheCacheManager)context.getBean("cacheManager");
        //得到Cache
        Cache cache = cacheManager.getCache("CodeCache");
        //存入缓存，这里是验证码对应用户名
        cache.put("123","magicwolf");
        //取出缓存
        System.out.println(cache.get("123",String.class));
        //删除缓存
        cache.evict("123");
    }
}

忘记密码功能

上面已经把关键点介绍了，剩余的就是如何组织代码，设计密码找回流程。代码很简单就不贴出了。

第一步:显示忘记密码页面

一个简单的表单页面，输入用户名和一个60秒刷新一次的验证码。

• 需要验证用户名是否存在，邮箱是否已填写。
• 60秒刷新的验证码防止恶意重置密码。
• 60秒刷新的验证码实现方式有很多，可以把时间信息存在session或cookie或Ehcache中。

第二步:发送邮件，缓存重置密码令牌。

• 生成一个5分钟内有效的令牌，将令牌和用户id映射保存在Ehcache中。
• 用令牌值组成重置邮件链接。
• 从数据库取出邮件地址并发送邮件。

第三步:重置密码

• 用户点击链接进入重置密码界面。
• 验证令牌值，并得到用户Id,定位到具体用户。
• 用户修改密码。

总结

忘记密码功能实现起来比较简单，但是如何设计一个严密的密码找回功能很麻烦。现在这个流程就很薄弱，容易受到攻击。等后面有时间了再来仔细研究一下，添加一些验证条件，比如密保问题，手机号验证这些。邮箱密码配置文件是保存在服务器上，明文保存会有风险，建议加密保存，在通过Spring的PropertyPlaceholderConfigurer读取加密配置。