app服务器端开发之用户登录(struts2)处理

app基本都有用户注册登录相关的操作,那么登录后服务器需要做什么?当用户发起其他的请求时,怎么确定用户的唯一性,根据什么来把app用户和服务器关联起来?

之前问过一些新手,发现很多新手都是采用的如下方式:用户登录时,校验账号密码,如果正确的话,就给app返回一个用户表里对应该用户的UserId唯一标识,然后以后app的所以请求都带着这个UserId,这样去进行app和服务器的关联,通过UserId去做查询等相关的接口操作。进行操作时每次根据UserId去查询User,然后进行各项操作。但这样是对的吗?试想一下,如果是这样,通信关系靠的是一个UserId,那其实登录与否都不重要,只要知道id即可,任何的接口操作譬如获取所有订单啊、提现啊之类的靠这个id来维持。这肯定是有问题的,很多接口的操作在不登录的情况下是不能发起请求的,譬如一些紧要的订单信息,账号余额信息,付款请求等,但有一些接口是可以不登录就能访问的,譬如广告的banner,商品的展示等。如果靠UserId来进行关联,那怎么知道用户是否登录了呢,反正通过UserId就能进行所有的操作了。甚至有一些User表主键生成策略是int型递增,那这就更简单了,直接去猜个id,就能对用户进行所有的操作了,岂不很危险。

事实上,对服务器来说,登录操作是一个有特殊意义的操作,代表了一次会话。下面来回头看一下,http请求中的几个内置对象,page,request,session,application。这里用到的有request和session。request代表请求对象,session代表会话对象。request作用在一次请求的范围内,比如说你这次要干什么,要达到一个目的。你要传递一个东西就用request,只用一次。而session就是一次回话,它的销毁为session到期,默认30分钟,可以修改,还有关闭浏览器session也会销毁。session就可以理解为会话,好比你和一个人谈话,你们两个之间交流的信息可以多次交互。从这可以看出,app发起的每一次请求是一个request,你请求服务器,服务器给你回一次值。那么session就是用来做登录后这次会话的保存,一旦app登录了,那么在这次会话中这个用户就是有一个唯一的session_id的。这个是app用户和服务器交互的唯一标志,当退出登录,或者session过期后,这个用户和服务器的关联就停掉了。下次再登录,会再有一个新的session_id。

User表的唯一标识UserId是不应该暴露给app客户端的,关联应该是靠着session会话来进行。正确的操作应该是登录后,服务器保存这个session状态,在session里存入用户的唯一标志,然后把session_id返回给客户端,下次app带着session_id来进行请求。服务器对session进行校验,如果session还在,说明用户已经登录,如果不在,那说明已退出登录,或者session已经过期,这样就不至于暴露用户主键UserId,避免被刷接口。

下面来讲一下如何用struts来做这件事,struts自带拦截器interceptor,可以对某些请求进行拦截,某些不拦截。非常方便。

有些代码我就不贴完整的,那些配置我也不写了,就说一下大概的流程。

我们先来写一个拦截器,SessionInterceptor.java

package mobile.util.interceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.struts2.StrutsStatics;

import com.opensymphony.xwork2.ActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.Interceptor;

/**
 * 手机端校验是否登录的拦截器
 * 
 * @author wolf
 *
 */
public class SessionInterceptor implements Interceptor {

	private static final long serialVersionUID = -520686124206452492L;

	public void destroy() {

	}

	public void init() {

	}

	public String intercept(ActionInvocation invocation) throws Exception {
		ActionContext actionContext = invocation.getInvocationContext();
		HttpServletRequest request = (HttpServletRequest) actionContext.get(StrutsStatics.HTTP_REQUEST);
		HttpServletResponse response = (HttpServletResponse) actionContext.get(StrutsStatics.HTTP_RESPONSE);
		
        HttpSession session = request.getSession();
		
		// 获取sessionid
		String sessionId = session.getId();
		response.addHeader("sessionId", sessionId);

		String actionName = invocation.getAction().toString();
		// 不拦截以下action
		if (actionName.contains("LoginAction") || actionName.contains("registRequestCode") || actionName.contains("verifyCode")) {
			return invocation.invoke();
		}
		
		// 没保存过用户session,说明没登录,或者session过期
		if (session.getAttribute(sessionId) == null) {
			// 用户未登录,跳到没登录处理的action
			session.invalidate();
			response.sendRedirect(request.getContextPath() + "/mobile/NoLoginAction.action");
			return null;
		}

		return invocation.invoke();
	}

}
在这个拦截器里,intetcept方法,能够获取到所有通过这个拦截器拦截的请求,并且做相应的处理,先获取session对象,把sessionId放到response的header里,将来返回给app用。然后有一些请求是在不登录的情况下也能访问的,不拦截的,这里我通过判断请求名字来确定哪些不需要拦截,譬如登录、注册、发验证码之类的,就不需要做拦截。其他的需要拦截的,就在session里获取attribute,来看这个sessionId里存的对象是否为空,如果空了,说明没登录或已超时,就跳转到没登录的处理去。不为空的话就invoke放行。那些session里存什么东西就由大家自行决定。在什么时候在session里存信息呢,当然是在登录成功后了。

下面是LoginAction的一段代码,里面有一些是自己的逻辑,不适用于别的项目,所以就看看思想就好了

public String logout() {
		HttpServletRequest request = ServletActionContext.getRequest();
		request.getSession().invalidate();
		
		BaseData basedata = new BaseData();
		basedata.setCode(1);
		PrintUtil.print(JsonUtil.toJsonString(basedata));
		
		return null;
	}
	
	/**
	 * 登录
	 * @return
	 */
	public String login() {
		OlderManReturnBean returnBean = new OlderManReturnBean();
		List<TbOlderMan> olderMans = olderManService.queryByName(userName);
		if(olderMans.size() == 0) {
			//用户不存在
			returnBean.setCode(-1);
		} else if(!olderMans.get(0).getLoginPwd().equals(MD5.toMD5(password))) {
			//密码错误
			returnBean.setCode(-2);
		} else {
			//登录成功
			returnBean.setCode(0);
			returnBean.setOlderMan(olderMans.get(0));
			HttpServletRequest request = ServletActionContext.getRequest();
			request.getSession().setAttribute(request.getSession().getId(), olderMans.get(0).getOlderManId());
			request.getSession().setMaxInactiveInterval(20);
		}
		PrintUtil.print(JsonUtil.toJsonString(returnBean));
		
		return null;
	}

登录成功后,在session里put进去值,key就是sessionId,value是用户的UserId。下次用户发请求时,带着sessionId来请求,我们就从session里getAttribute(sessionId),就能得到UserId了,如果得不到,说明已经不在登录状态了。通过拦截器来判断用户是否在登录状态,是否放行一些不需要登录就能访问的请求。

setMaxInactiveInterval方法是设置session超时时间,单位是秒,我这里设个20秒,方便测试session超时。可以通过浏览器来进行这个登录操作,登录成功后通过debug就能看到sessionId,然后随便输出个值。过20秒后,再试图访问一个其他的请求时,拦截器就会判断出该sessionId已经超时了,所以session去getAttribute时就会为空,然后就跳到没登录的action了。实际使用中请根据自己的需求来设置超时时间。

下面说一下struts.xml的配置

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.1//EN" "http://struts.apache.org/dtds/struts-2.1.dtd">
<struts>
	<package name="mobile" namespace="/mobile" extends="json-default">

		<interceptors>
			<interceptor name="sessionInterceptor"
				class="mobile.util.interceptor.SessionInterceptor" />
			<interceptor-stack name="defaultStack">
				<interceptor-ref name="defaultStack" />
				<interceptor-ref name="sessionInterceptor" />
			</interceptor-stack>
		</interceptors>
		<default-interceptor-ref name="defaultStack" />

		<action name="NoLoginAction" class="mobile.action.base.NoLoginAction" />

		<!-- 登录、注册、修改密码 -->
		<action name="*LoginAction" class="mobile.action.LoginAction"
			method="{1}" />

		<action name="*SmsAction" class="mobile.action.SmsAction"
			method="{1}" />

		<action name="*OlderManAction" class="mobile.action.olderman.OlderManAction"
			method="{1}" />
		<action name="*UrgentPersonAction" class="mobile.action.olderman.UrgentPersonAction"
			method="{1}" />
	</package>
</struts>    

在这个package里,写明用的interceptor,将来所有这个namespace下的请求都会先走一遍拦截器,你可以通过写多个struts-*.xml,来区分不同的package,使用不同的拦截器,或者有的action不使用拦截器,这个就看自己的业务了。注意,struts是靠package来区分的,一个package下都会走这个拦截器。所以就有两种方式来决定是否拦截某些请求,一种就是在上面的拦截器代码里通过action的name来设置,还有就是通过有的package写拦截器,有的不写,或者两种方法同时使用来进行复杂的逻辑判断,拦截特定的请求。

以上就是app登录后,服务器端应该做的处理,和拦截器相关的处理。

你可能感兴趣的:(app登录后服务器处理,app登录操作,服务器session处理)