实现一个登录功能
实现的功能
在第一版的基础上进行优化:\
优化点:
请求的post使用中间件进行储存操作信息.避免重复代码
因为除了查询操作不需要存入 OperationRecord(操作列表)外,其他操作都要存入操作列表,当用户提交注册,登录,重置密码,登出等操作时就将用户的操作信息存入OperationRecord(操作列表)中,避免重复代码.
(1)验证码的储存:
为了数据安全,必须严格核验验证码的准确性,所以验证码不能单独生成,必须与申请验证码信息的账号相关,通过账号储存验证码信息,在核验的时候也不能单独核验,上传验证码的账号必须与生成验证码的账号相同,避免在提交验证码时用户恶意篡改邮箱信息.
名称 | 数据类型 |
---|---|
string | |
验证码 | int |
核验的时候也使用Email查询验证码核验,到一定时间删除MySQL数据
(2)验证码时效
验证码生成后设计5分钟内验证码未使用就从列表中删除了,5分钟后用户填写验证码即为无效验证,需要重新获取验证码,但是如果申请验证码的用户未进行任何验证,错误与正确验证都没有,那么重新发送的验证码将与原验证码相同,否则发送的验证码将与原验证码不同.避免某些用户在5分钟内没法收到验证码的情况.
(3)操作与验证分离式
(一). 邮箱验证(先)
名称 | 数据类型 |
---|---|
string | |
验证码 | int |
(二). 注册/改密(后)(登录没有后续操作)
改密
新密码 | string |
again | string |
注册
name | string |
密码 | string |
主键自增:
用自增长整数代替随机数避免重复:使用整数作为主键,每插入一条新记录,主键自动加一。这种方式不会产生重复的主键,而且速度快,但无法在分布式环境下使用。
为避免机器人攻击网站,恶意刷邮件等操作,在登录,改密,注册等关键性节点加上真人验证环节.
我们选择
滑动验证:滑块验证是一种常见的验证方法,要求用户在滑块上进行拖动操作,以证明他们是真人而不是机器人。这种验证方法通常易于使用,因为它不需要用户输入文本或解决问题,但仍然可以提供相对高的安全性。
由于服务器与用户的数据交互不是连续的,我们只能从SignInList(登录列表)判断用户是否在线,无法判断用户是否掉线,所以我们给SignInList(登录列表)中的数据增加一个时效(30分钟),如果30分钟之内用户无任何操作则视为掉线,服务端将删除SignInList(登录列表)中对应用户的数据,当用户30分钟后再次访问时就需要重新登陆.如果在30分钟之内用户有操作,则重新计算30分钟时间(从0开始).
名称 | 数据类型 |
---|---|
id(主键) | int |
name(唯一) | string |
password | string |
Email(唯一) | string |
名称 | 数据类型 |
---|---|
id (主键) | int |
身份码 | int |
名称 | 数据类型 |
---|---|
id | int |
操作 | string |
time | string |
名称 | 数据类型 |
---|---|
Email(唯一) | string |
Verification | int |
/index
定义一个index页面包含两个按钮login(注册)和sign up(登录) 点击login进入注册页面,点击sign up进入登录页面
index/login
(1). 注册邮箱验证:
(2)注册:
注册表单:
名称 | 数据类型 |
---|---|
name | string |
password | string |
先验证name是否有效与是否被使用(例如:name不能超过10个字符且字符都在ASCII中)
核验password是否规范(例如:大于6位小于20位) 确认没问题后
将用户数据(注册的Email,name,password)储存到LoginList(注册列表),并自增出一个新的ID
(5)通过id向OperationRecord(操作列表)中储存 "注册" 操作与目前的时间
index/signup
账号密码登录表单:
名称 | 数据类型 |
---|---|
string | |
password | string |
(1). 用户填写表单信息,点击登录.
(2). 弹出真人验证:滑动验证
(3). 向服务端发送表单数据,服务端拿到表单数据去MySQL中查找,如果找不到对应的Email返回该邮箱未注册,请先注册,如果password错误返回密码错误,
(4). 核验成功,服务端随机生成一个临时的访问身份码,与id一起储存到MySQL中的SignInList(登录列表)中(时效30分钟,30分钟后删除),再将一份发送给用户,用户拿着此身份码进入home页面
(5). 通过id向OperationRecord(操作列表)中储存 "登录" 操作与目前的时间
验证码登录表单:
名称 | 数据类型 |
---|---|
string | |
验证码 | int |
(1). 用户填写Email,点击发送验证码,
(2). 弹出真人验证:滑动验证
(3). 向服务端发送Email数据,服务端拿到数据去MySQL中查找,如果找不到对应的Email返回该邮箱未注册,请先注册,如果存在就向邮箱发送一封验证邮件
(4). 用户填写验证邮件,点击登录,服务器会核验验证码的正确性,核验成功,服务端随机生成一个临时的访问身份码,与id一起储存到MySQL中的SignInList(登录列表)中,再将一份发送给用户,用户拿着此身份码进入home页面
(5)通过id向OperationRecord(操作列表)中储存 "登录" 操作与目前的时间
用户登出或者意外掉线,服务端会删除SignInList(登录列表)中Email对应的数据.
原理图
/home
home/signout
(3)通过id向OperationRecord(操作列表)中储存 "登出" 操作与目前的时间
home/resetpassword 两个按钮:旧密码改密|验证码改密
(1). 验证正常登录状态:(核验身份) 检验目前用户的id与身份码信息是否在MySQL中SignInList(登录列表)存在且正确,重置数据时效,(重置为30分钟,30分钟后删除)
旧密码改密表单:
名称 | 数据类型 |
---|---|
password | string |
new password | string |
new password again | string |
(2). 用户填写表单信息,点击提交.
(3). 弹出真人验证:滑动验证
(4). 向服务端发送表单数据,服务端拿到表单数据核验new password是否规范(例如:大于6位小于20位),
(5). 检验password again密码是否相同
(6). 核验成功,服务端修改MySQL中的 LoginList(注册列表)中对应的id下的password
(7)通过id向OperationRecord(操作列表)中储存 "改密" 操作与目前的时间
(1). 验证正常登录状态:(核验身份) 检验目前用户的id与身份码信息是否在MySQL中SignInList(登录列表)存在且正确,重置数据时效,(重置为30分钟,30分钟后删除)
验证码改密表单:
名称 | 数据类型 |
---|---|
验证码 | int |
(1). 用户点击发送验证码,
(2). 弹出真人验证:滑动验证
(3). 服务器通过用户的id获取用户的Email信息,向Email发送一封验证邮件
(4). 用户点击提交,服务端核验验证码正确性(核验失败返回验证码错误),核验成功:修改MySQL中的 LoginList(注册列表)中对应的用户的id的password;
(5)通过id向OperationRecord(操作列表)中储存 "改密" 操作与目前的时间
身份核验:
检验目前用户的id与身份码信息是否在MySQL中SignInList(登录列表)存在且正确,重置数据时效,(重置为30分钟,30分钟后删除)
核验无误,服务端查询OperationRecord(操作列表)中的所有id为用户id的数据,并返回给用户
本文由 mdnice 多平台发布