目录

一、基于Session实现登录

1.1 业务流程图​编辑

二、发送短信验证码

2.1 发送短信请求方式及参数说明

2.2 业务层代码模拟发送短信

三、登录功能

 3.1  短信验证的请求方式及路径

3.2  业务层代码实现用户登录

3.3 拦截器——登录验证功能

三、隐藏用户敏感信息

四、session共享问题

---

一、基于Session实现登录

1.1 业务流程图

二、发送短信验证码

2.1 发送短信请求方式及参数说明

这个地方为什么需要session？  因为我们需要把验证码保存在session当中

    /**
     * 发送手机验证码
     */
    @PostMapping("code")
    public Result sendCode(@RequestParam("phone") String phone, HttpSession session) {
        // TODO 发送短信验证码并保存验证码
//        return Result.fail("功能未完成");
        return userService.sendCode(phone,session);
    }

2.2 业务层代码模拟发送短信

    @Override
    public Result sendCode(String phone, HttpSession session) {
//      1.校验手机号
        if(RegexUtils.isPhoneInvalid(phone)){
//              说明：RegexUtils使我们封装的一个类   isCodeInvalid是里面的静态方法，在这个静态方法里面又调用了另外一个静态方法得以实现
//      2.如果不符合，返回错误信息
            return Result.fail("手机号格式错误");
        }

//      3.符合，生成验证码    6代表生成的验证码的长度  RandomUtil使用这个工具类生成
        String code =  RandomUtil.randomNumbers(6);
//      4.保存验证码到session       key必须是一个字符串，value是一个对象
        session.setAttribute("code",code);
//      5.发送验证码
//        实现起来比较麻烦 我们使用日志假装发送
        log.debug("发送短信验证码成功，验证码："+code);
        return Result.ok();
    }
}

三、登录功能

 3.1  短信验证的请求方式及路径

    /**
     * 登录功能
     * @param loginForm 登录参数，包含手机号、验证码；或者手机号、密码
     */
    @PostMapping("/login")
    public Result login(@RequestBody LoginFormDTO loginForm, HttpSession session){
        // TODO 实现登录功能
        return userService.login(loginForm,session);
    }

3.2  业务层代码实现用户登录

流程图：

代码：

    /**
     * 实现用户登录
     * @param loginForm  登录的参数
     * @param session
     * @return
     */
    @Override
    public Result login(LoginFormDTO loginForm, HttpSession session) {
//      1.校验手机号
        if(RegexUtils.isPhoneInvalid(loginForm.getPhone())){
//              说明：RegexUtils使我们封装的一个类   isCodeInvalid是里面的静态方法，在这个静态方法里面又调用了另外一个静态方法得以实现
//          1.2.如果不符合，返回错误信息
            return Result.fail("手机号格式错误");
        }
//      2.校验验证码
//           2.1 得到code 这个值是真实的code
        Object cacheCode = session.getAttribute("code");
//           2.2 获取用户输入的code
        String code = loginForm.getCode();
        if(cacheCode ==null || !cacheCode.toString().equals(code)){
//      3.不一致，报错
            return Result.fail("验证码错误");
        }

//      4.一致，根据手机号查询用户   .one()代表查询一个  list()代表着查询多个
        User user =query().eq("phone",loginForm.getPhone()).one();

//      5.判断用户是否存在
        if(user ==null){
//      6.不存在，创建新用户并保存
             user = createUserWithPhone(loginForm.getPhone());
        }

//      7.保存用户信息到session中
        session.setAttribute("user",user);
        return Result.ok();
    }

    private User createUserWithPhone(String phone) {
//      1.创建用户
        User user = new User();
        user.setPhone(phone);
//       USER_NICK_NAME_PREFIX其实就是 "user_"，这样写更有逼格
        user.setNickName(USER_NICK_NAME_PREFIX+RandomUtil.randomString(10));
//        保存用户
        save(user);

        return user;
    }

3.3 拦截器——登录验证功能

// HandlerInterceptor 这是一个拦截器
public class LoginInterceptor implements HandlerInterceptor {
//  前置拦截   在进入controller之前我们进行登录校验
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//      1.获取session
        HttpSession session  =request.getSession();
//      2.获取session中的用户
        Object user = session.getAttribute("user");
//      3.判断用户是否存在
        if(user == null){
            // 4.不存在，拦截
            response.setStatus(401);  //返回401状态码
            return false;
        }
//      5.存在，保存用户信息到ThreadLocal  保存在当前线程里面的
        UserHolder.saveUser((User)user);
//      6.放行
        return true;
    }
//  在controller执行之后拦截  这个我们在这里不需要
//    @Override
//    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
//        HandlerInterceptor.super.postHandle(request, response, handler, modelAndView);
//    }

//  渲染之后，返回给用户之前   用户业务执行完毕我们要销毁维护信息，避免泄露
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
//      移除用户
        UserHolder.removeUser();
    }
}

public class UserHolder {
    private static final ThreadLocal<User> tl = new ThreadLocal<>();

    public static void saveUser(User user){
        tl.set(user);
    }

    public static User getUser(){
        return tl.get();
    }

    public static void removeUser(){
        tl.remove();
    }
}

@Configuration
public class MvcConfig implements WebMvcConfigurer {

//  拦截器的注册器
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new LoginInterceptor())
                .excludePathPatterns(
                        "/user/code",
                        "/user/login",
                        "/shop/**",
                        "/blog/hot",
                        "/shop-type/**",
                        "upload/**",
                        "voucher/**"
                );
    }
}

    @GetMapping("/me")
    public Result me(){
        // TODO 获取当前登录的用户并返回
//        直接取就可以了
       User user=  UserHolder.getUser();
       
        return Result.ok(user);
    }

三、隐藏用户敏感信息

如下图所示，服务器返回的信息有点多，我们为了保护用户的信息，我们需要隐藏部分的内容

所以一开始我们存入session的信息就不应该是完整的信息，这样才能降低服务器的压力

UserServiceImpl中的login方法

//      7.保存用户信息到session中   \
//         BeanUtil.copyProperties(user, UserDTO.class))  会自动的将user中的属性拷贝到UserDTO当中而且也创建出一个UserDTO对象
        session.setAttribute("user", BeanUtil.copyProperties(user, UserDTO.class));

取的时候我们也应该做出变化

LoginInterceptor类

//      5.存在，保存用户信息到ThreadLocal  保存在当前线程里面的
        UserHolder.saveUser((UserDTO)user);

此时我们再登录查询信息，就还剩下三个字段了

四、session共享问题

多台Tomcat并不共享session存储空间，当请求切换到不同的Tomcat服务导致数据丢失的问题

所以这个方案就被pass了

session的替代方案应该满足：

• 数据共享
• 内存存储
• key、value结构

所以我们选择Redis

任何一台Tomcat都能访问到Redis，这样就能实现数据共享

有兴趣的朋友可以再对比一下Redis实现短信登录，两个对比学习

Redis替代Session实现用户短信登录(超级详细解释）_我爱布朗熊的博客-CSDN博客