app基本都有用户注册登录相关的操作,那么登录后服务器需要做什么?当用户发起其他的请求时,怎么确定用户的唯一性,根据什么来把app用户和服务器关联起来?
之前问过一些新手,发现很多新手都是采用的如下方式:用户登录时,校验账号密码,如果正确的话,就给app返回一个用户表里对应该用户的UserId唯一标识,然后以后app的所以请求都带着这个UserId,这样去进行app和服务器的关联,通过UserId去做查询等相关的接口操作。进行操作时每次根据UserId去查询User,然后进行各项操作。但这样是对的吗?试想一下,如果是这样,通信关系靠的是一个UserId,那其实登录与否都不重要,只要知道id即可,任何的接口操作譬如获取所有订单啊、提现啊之类的靠这个id来维持。这肯定是有问题的,很多接口的操作在不登录的情况下是不能发起请求的,譬如一些紧要的订单信息,账号余额信息,付款请求等,但有一些接口是可以不登录就能访问的,譬如广告的banner,商品的展示等。如果靠UserId来进行关联,那怎么知道用户是否登录了呢,反正通过UserId就能进行所有的操作了。甚至有一些User表主键生成策略是int型递增,那这就更简单了,直接去猜个id,就能对用户进行所有的操作了,岂不很危险。
事实上,对服务器来说,登录操作是一个有特殊意义的操作,代表了一次会话。下面来回头看一下,http请求中的几个内置对象,page,request,session,application。这里用到的有request和session。request代表请求对象,session代表会话对象。request作用在一次请求的范围内,比如说你这次要干什么,要达到一个目的。你要传递一个东西就用request,只用一次。而session就是一次回话,它的销毁为session到期,默认30分钟,可以修改,还有关闭浏览器session也会销毁。session就可以理解为会话,好比你和一个人谈话,你们两个之间交流的信息可以多次交互。从这可以看出,app发起的每一次请求是一个request,你请求服务器,服务器给你回一次值。那么session就是用来做登录后这次会话的保存,一旦app登录了,那么在这次会话中这个用户就是有一个唯一的session_id的。这个是app用户和服务器交互的唯一标志,当退出登录,或者session过期后,这个用户和服务器的关联就停掉了。下次再登录,会再有一个新的session_id。
User表的唯一标识UserId是不应该暴露给app客户端的,关联应该是靠着session会话来进行。正确的操作应该是登录后,服务器保存这个session状态,在session里存入用户的唯一标志,然后把session_id返回给客户端,下次app带着session_id来进行请求。服务器对session进行校验,如果session还在,说明用户已经登录,如果不在,那说明已退出登录,或者session已经过期,这样就不至于暴露用户主键UserId,避免被刷接口。
下面来讲一下如何用struts来做这件事,struts自带拦截器interceptor,可以对某些请求进行拦截,某些不拦截。非常方便。
有些代码我就不贴完整的,那些配置我也不写了,就说一下大概的流程。
我们先来写一个拦截器,SessionInterceptor.java
package mobile.util.interceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import org.apache.struts2.StrutsStatics; import com.opensymphony.xwork2.ActionContext; import com.opensymphony.xwork2.ActionInvocation; import com.opensymphony.xwork2.interceptor.Interceptor; /** * 手机端校验是否登录的拦截器 * * @author wolf * */ public class SessionInterceptor implements Interceptor { private static final long serialVersionUID = -520686124206452492L; public void destroy() { } public void init() { } public String intercept(ActionInvocation invocation) throws Exception { ActionContext actionContext = invocation.getInvocationContext(); HttpServletRequest request = (HttpServletRequest) actionContext.get(StrutsStatics.HTTP_REQUEST); HttpServletResponse response = (HttpServletResponse) actionContext.get(StrutsStatics.HTTP_RESPONSE); HttpSession session = request.getSession(); // 获取sessionid String sessionId = session.getId(); response.addHeader("sessionId", sessionId); String actionName = invocation.getAction().toString(); // 不拦截以下action if (actionName.contains("LoginAction") || actionName.contains("registRequestCode") || actionName.contains("verifyCode")) { return invocation.invoke(); } // 没保存过用户session,说明没登录,或者session过期 if (session.getAttribute(sessionId) == null) { // 用户未登录,跳到没登录处理的action session.invalidate(); response.sendRedirect(request.getContextPath() + "/mobile/NoLoginAction.action"); return null; } return invocation.invoke(); } }在这个拦截器里,intetcept方法,能够获取到所有通过这个拦截器拦截的请求,并且做相应的处理,先获取session对象,把sessionId放到response的header里,将来返回给app用。然后有一些请求是在不登录的情况下也能访问的,不拦截的,这里我通过判断请求名字来确定哪些不需要拦截,譬如登录、注册、发验证码之类的,就不需要做拦截。其他的需要拦截的,就在session里获取attribute,来看这个sessionId里存的对象是否为空,如果空了,说明没登录或已超时,就跳转到没登录的处理去。不为空的话就invoke放行。那些session里存什么东西就由大家自行决定。在什么时候在session里存信息呢,当然是在登录成功后了。
下面是LoginAction的一段代码,里面有一些是自己的逻辑,不适用于别的项目,所以就看看思想就好了
public String logout() { HttpServletRequest request = ServletActionContext.getRequest(); request.getSession().invalidate(); BaseData basedata = new BaseData(); basedata.setCode(1); PrintUtil.print(JsonUtil.toJsonString(basedata)); return null; } /** * 登录 * @return */ public String login() { OlderManReturnBean returnBean = new OlderManReturnBean(); List<TbOlderMan> olderMans = olderManService.queryByName(userName); if(olderMans.size() == 0) { //用户不存在 returnBean.setCode(-1); } else if(!olderMans.get(0).getLoginPwd().equals(MD5.toMD5(password))) { //密码错误 returnBean.setCode(-2); } else { //登录成功 returnBean.setCode(0); returnBean.setOlderMan(olderMans.get(0)); HttpServletRequest request = ServletActionContext.getRequest(); request.getSession().setAttribute(request.getSession().getId(), olderMans.get(0).getOlderManId()); request.getSession().setMaxInactiveInterval(20); } PrintUtil.print(JsonUtil.toJsonString(returnBean)); return null; }
setMaxInactiveInterval方法是设置session超时时间,单位是秒,我这里设个20秒,方便测试session超时。可以通过浏览器来进行这个登录操作,登录成功后通过debug就能看到sessionId,然后随便输出个值。过20秒后,再试图访问一个其他的请求时,拦截器就会判断出该sessionId已经超时了,所以session去getAttribute时就会为空,然后就跳到没登录的action了。实际使用中请根据自己的需求来设置超时时间。
下面说一下struts.xml的配置
<?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.1//EN" "http://struts.apache.org/dtds/struts-2.1.dtd"> <struts> <package name="mobile" namespace="/mobile" extends="json-default"> <interceptors> <interceptor name="sessionInterceptor" class="mobile.util.interceptor.SessionInterceptor" /> <interceptor-stack name="defaultStack"> <interceptor-ref name="defaultStack" /> <interceptor-ref name="sessionInterceptor" /> </interceptor-stack> </interceptors> <default-interceptor-ref name="defaultStack" /> <action name="NoLoginAction" class="mobile.action.base.NoLoginAction" /> <!-- 登录、注册、修改密码 --> <action name="*LoginAction" class="mobile.action.LoginAction" method="{1}" /> <action name="*SmsAction" class="mobile.action.SmsAction" method="{1}" /> <action name="*OlderManAction" class="mobile.action.olderman.OlderManAction" method="{1}" /> <action name="*UrgentPersonAction" class="mobile.action.olderman.UrgentPersonAction" method="{1}" /> </package> </struts>
在这个package里,写明用的interceptor,将来所有这个namespace下的请求都会先走一遍拦截器,你可以通过写多个struts-*.xml,来区分不同的package,使用不同的拦截器,或者有的action不使用拦截器,这个就看自己的业务了。注意,struts是靠package来区分的,一个package下都会走这个拦截器。所以就有两种方式来决定是否拦截某些请求,一种就是在上面的拦截器代码里通过action的name来设置,还有就是通过有的package写拦截器,有的不写,或者两种方法同时使用来进行复杂的逻辑判断,拦截特定的请求。
以上就是app登录后,服务器端应该做的处理,和拦截器相关的处理。