一、整体项目模块
二、后端MySql数据库
三、短信登录模块
(1)前端数据部署在nginx服务器上,登录项目页面之前需在nginx.exe目录下执行
start nginx.exe
(2)基于Session实现的短信登录可以分为三个部分,由此编写三个接口
(3)流程图
发送短信验证码
@PostMapping("code")
public Result sendCode(@RequestParam("phone") String phone, HttpSession session) {
// 发送短信验证码并保存验证码
return userService.sendCode(phone,session);
}
@Slf4j
@Service
public class UserServiceImpl extends ServiceImpl implements IUserService {
@Override
public Result sendCode(String phone, HttpSession session) {
//1.校验手机号
//1.1不符合 提示重新输入
if(RegexUtils.isPhoneInvalid(phone)){
return Result.fail("手机号格式有误");
}
//2.符合, 生成验证码
String code = RandomUtil.randomNumbers(6);//hutool工具类提供的生成随机数方法
//3.保存验证码到session
session.setAttribute("code",code);
//4.发送验证码 用日志模拟
log.debug("发送短信验证码成功,验证码:{}",code);
//返回ok
return Result.ok();
}
}
短信验证码登录、注册
/**
* 登录功能
* @param loginForm 登录参数,包含手机号、验证码;或者手机号、密码
*/
@PostMapping("/login")
public Result login(@RequestBody LoginFormDTO loginForm, HttpSession session){
//实现登录功能
return userService.login(loginForm,session);
}
@Override
public Result login(LoginFormDTO loginForm, HttpSession session) {
String phone = loginForm.getPhone();
//1.校验手机号 再次校验防止更改
if(RegexUtils.isPhoneInvalid(phone)){
return Result.fail("手机号格式有误");
}
//2.校验验证码
Object cashCode = session.getAttribute("code");//session中保存的发给用户的code
String code = loginForm.getCode();//用户输入的提交的code
//2.1验证码过期(或其他原因未存入session)或所填不一致 返回错误信息
if(cashCode==null||!cashCode.toString().equals(code)){
return Result.fail("验证码有误");
}
//3.一致,根据手机号查用户
User user = query().eq("phone", phone).one();//mybatisplus提供的简化sql语句的api query相当于select *
//4.判断用户是否存在
//4.1不存在 创建新用户 保存到数据库
if (user==null){
user=createUserWithPhone(phone);
}
//4.2 存在或不存在都保存到session 但是为了安全性和session的内存占用
// 新建一个userDTO 将userdto保存在session
session.setAttribute("user", BeanUtil.copyProperties(user, UserDTO.class));
return Result.ok();//利用hutool提供的工具类将user的属性都拷贝到userdto中
}
//根据电话创建新用户
private User createUserWithPhone(String phone) {
User user = new User();
user.setPhone(phone);
user.setNickName(USER_NICK_NAME_PREFIX+RandomUtil.randomString(10));
save(user);
return user;
}
登录校验拦截器
//登录校验拦截器
//为了让此拦截器生效,还需要编写MvcConfig配置
public class LoginInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//1.获取session
HttpSession session = request.getSession();
//2.session中获取用户
Object user = session.getAttribute("user");
//3.判断用户是否存在
if(user==null){
//3.2不存在 拦截
response.setStatus(401);
return false;
}
//3.1存在 保存用户到threadLocal
UserHolder.saveUser((UserDTO) user);
return true;
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
//移除用户
UserHolder.removeUser();
}
}
@Configuration
public class MvcConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
//拦截器注册器
registry.addInterceptor(new LoginInterceptor())
.excludePathPatterns(
"/blog/hot",
"/voucher/**",
"/shop/**",
"/shop-type/**",
"/upload/**",
"/user/code",
"/user/login"
);//放行的路径 不需要登录即可操作
}
}
@GetMapping("/me")
public Result me(){
//获取当前登录的用户并返回
UserDTO user = UserHolder.getUser();
return Result.ok(user);
}
四、改造项目——集群的Session共享问题
对于一台服务器的单体架构来说,存在于tomcat的session尚能应付。当需要部署tomcat集群时,就会出现,存在一台tomcat上的session 无法共享的问题。因此,可以用能够满足数据共享、内存存储、kv结构的redis来代替session。
【代码更改】
验证码发送
在UserService的实现类加入
@Resource
public StringRedisTemplate stringRedisTemplate;
将
session.setAttribute("code",code);
改为
stringRedisTemplate.opsForValue().set("login:code"+phone,code,2, TimeUnit.MINUTES);
//将电话号码作为key验证码作为value,为了区分不同业务,加“login:code”前缀。验证码保存在redis中2分钟
短信验证码登录、注册
@Override
public Result login(LoginFormDTO loginForm, HttpSession session) {
String phone = loginForm.getPhone();
//1.校验手机号 再次校验防止更改
if(RegexUtils.isPhoneInvalid(phone)){
return Result.fail("手机号格式有误");
}
//2.校验验证码
//从redis获取验证码(发送的验证码)
String cacheCode = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY+ phone);
/*Object cashCode = session.getAttribute("code");//session中保存的发给用户的code*/
String code = loginForm.getCode();//用户输入的提交的code
//2.1验证码过期(或其他原因未存入session)或所填不一致 返回错误信息
if(cacheCode==null||!cacheCode.equals(code)){
return Result.fail("验证码有误");
}
//3.一致,根据手机号查用户
User user = query().eq("phone", phone).one();//mybatisplus提供的简化sql语句的api query相当于select *
//4.判断用户是否存在
//4.1不存在 创建新用户 保存到数据库
if (user==null){
user=createUserWithPhone(phone);
}
//存在 保存用户信息到redis中
//随机生成token 作为登录令牌 代替sessionid
String token = UUID.randomUUID().toString(true);//用hutool生成一个随机的值 转成不带中划线的字符串 作为token
//将user对象转为hashMap存储
UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
Map userMap = BeanUtil.beanToMap(userDTO,new HashMap<>(),
CopyOptions.create()
.setIgnoreNullValue(true)
.setFieldValueEditor((fieldName,fieldValue)->fieldValue.toString()));
//要求都是string类型 用工具自带的选项转换成string
String tokenKey = LOGIN_USER_KEY + token;
stringRedisTemplate.opsForHash().putAll(tokenKey,userMap);
//设置token有效期
stringRedisTemplate.expire(tokenKey,LOGIN_USER_TTL,TimeUnit.MINUTES);
//返回token
return Result.ok(token);
/*//4.2 存在或不存在都保存到session 但是为了安全性和session的内存占用
// 新建一个userDTO 将userdto保存在session
session.setAttribute("user", BeanUtil.copyProperties(user, UserDTO.class));
return Result.ok();//利用hutool提供的工具类将user的属性都拷贝到userdto中*/
}
校验登录状态(拦截器)
//登录校验拦截器
//为了让此拦截器生效,还需要编写MvcConfig配置
public class LoginInterceptor implements HandlerInterceptor {
//这是一个自己创建的类 对象不由spring创建 故无法用autowire的方式注入stringRedisTemplate
//因此在需用使用此类处 用构造函数参数的形式注入stringRedisTemplate
private StringRedisTemplate stringRedisTemplate;
public LoginInterceptor(StringRedisTemplate stringRedisTemplate) {
this.stringRedisTemplate = stringRedisTemplate;
}
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//1.获取请求头中的token
String token = request.getHeader("authorization");//根据前端代码
if(StrUtil.isBlank(token)){
//2不存在 拦截
response.setStatus(401);
return false;
}
//3.基于token获取redis中的用户
String key=RedisConstants.LOGIN_USER_KEY + token;
Map
五、改造项目——token有效期问题
对于上文的登录状态校验拦截器中的token,在未进行登录状态校验30分钟后,将自动失效。因此将会出现这样的问题:若用户一直进行无需登录状态的操作,如商品浏览等,将在30分钟后失去登录状态,这显然是不符合需求的。因此做如下优化:在现有的拦截器之前再加拦截器,拦截一切路径同时刷新token,但不做真正的拦截,而是统统放行,将拦截的任务交给已有拦截器。如图
只需将原有的拦截器LoginInterceptor代码复制到新的拦截器RefreshTokenInterceptor中,删除拦截部分代码改为放行。之后在MvcConfig中,注册新的拦截器,并借助.order(数字)来调整优先级即可(这个数字越小,优先级越高),不做代码展示。
六、短信登录模块整体流程图