黑马点评,前后端分离的架构模式。前端分布在nginx上,后端分布在tomcat。
短信登陆
导入黑马点评项目:
打开项目,重新设置maven仓库位置。更新src/main/resources下的application.yaml中的数据库配置和redis配置。
后端部署:
点击services添加springboot,启动HmDianPingApplication,如下图所示。
前端部署:
打开nginx:在nginx目录下打开cmd窗口,输入命令start nginx.exe。然后打开谷歌浏览器,F12打开开发者工具,最后点击左上角打开手机模式。
访问http://127.0.0.1:8080,即可看到页面。
基于Session实现登录
验证码发送功能:
可以知道发送验证码的请求为POST,接口为user/code,参数为phone。找到UserController中的sendCode函数,返回userService.sendCode(phone,session),在userService中实现验证发发送功能。
@Override
public Result sendCode(String phone, HttpSession session) {
//校验手机号
//RegexUtils提供了正则表达校验,直接调用即可。
if (RegexUtils.isPhoneInvalid(phone)) {
return Result.fail("手机号格式错误!");
}
//随机生成6位验证码
String code= RandomUtil.randomNumbers(6);
//保存验证码到session
session.setAttribute("code",code);
//发送验证码,现实中需要调用API接口发送验证码,此处只将验证码写入日志中模拟发送
log.debug("发送验证码{}成功",code);
//直接调用Result中的ok对象进行成功返回
return Result.ok();
}
登录功能:
在UserService的login()中实现。补充:tb_user表中手机号为主键,所以根据手机号进行用户查找。
@Override
public Result login(LoginFormDTO loginForm, HttpSession session) {
//再次校验手机号
String phone=loginForm.getPhone();
if (RegexUtils.isPhoneInvalid(phone)) {
return Result.fail("手机号格式错误!");
}
//校验验证码
Object cacheCode = session.getAttribute("code");
String code=loginForm.getCode();
if (cacheCode==null||!cacheCode.toString().equals(code)) {
return Result.fail("验证码错误");
}
//根据手机号查询用户,判断用户是否存在。使用MyBatis Plus写SQL语句
User user = query().eq("phone", phone).one();
//如果不存在,则创建新用户并保存到数据库
if (user==null) {
user=createUserWithPhone(phone);
}
//保存用户信息到session中
session.setAttribute("user",user);
return Result.ok();
}
private User createUserWithPhone(String phone) {
//创建用户对象
User user=new User();
user.setPhone(phone);
//USER_NICK_NAME_PREFIX为提前写好的常量信息,内容为"user_"
user.setNickName(USER_NICK_NAME_PREFIX+RandomUtil.randomString(10));
//写入数据库。在IService中提前写好了save函数。
save(user);
return user;
}
登录验证功能:
Tomcat工作原理:
当用户发起请求时,会访问我们向tomcat注册的端口,任何程序想要运行,都需要有一个线程对当前端口号进行监听,tomcat也不例外,当监听线程知道用户想要和tomcat连接连接时,那会由监听线程创建socket连接,socket都是成对出现的,用户通过socket像互相传递数据,当tomcat端的socket接受到数据后,此时监听线程会从tomcat的线程池中取出一个线程执行用户请求,在我们的服务部署到tomcat后,线程会找到用户想要访问的工程,然后用这个线程转发到工程中的controller,service,dao中,并且访问对应的DB,在用户执行完请求后,再统一返回,再找到tomcat端的socket,再将数据写回到用户端的socket,完成请求和响应
通过以上讲解,我们可以得知 每个用户其实对应都是去找tomcat线程池中的一个线程来完成工作的, 使用完成后再进行回收,既然每个请求都是独立的,所以在每个用户去访问我们的工程时,我们可以使用threadlocal来做到线程隔离,每个线程操作自己的一份数据
threadlocal:
如果小伙伴们看过threadLocal的源码,你会发现在threadLocal中,无论是他的put方法和他的get方法, 都是先从获得当前用户的线程,然后从线程中取出线程的成员变量map,只要线程不一样,map就不一样,所以可以通过这种方式来做到线程隔离
所以在拦截器中实现校验登录状态功能。
敏感信息隐藏问题:
在这个过程中也要注意返回用户信息之前,将用户的敏感信息进行隐藏:书写一个UserDto对象,在返回前将User对象转化成没有敏感信息的UserDto对象。
session共享问题:
多台Tomcat并不共享session存储空间,当请求切换到不同tomcat服务时会导致数据丢失问题。
为了满足session共享,则需要满足数据共享,内存存储(低延迟),key-value存储,因此使用redis存储session。
基于Redis实现session登录:
redis的key要满足两点:唯一性和方便携带。因此使用一个随机字符串token作为key。如果采用phone,则将敏感信息存储到redis中,会有泄露的风险,不妥。
使用redis时需要设置有效值,否则数据越来越大会占用过多内存。
因此整体思路是:将验证码code存入login:user+phone中。然后在登录时,通过手机号获取验证码,判断验证码是否一致。如果一致,则根据手机号查询用户信息,不存在用户则新建一个用户,最后将用户数据保存在redis,并随机生成字符串token作为此值的key,也就是session的凭证。当我们校验用户是否登录时,会携带token进行访问,从redis中去除token对应的value,判断是否存在这个数据,如果没有则拦截,如果存在则保存到threadLocal中,并刷新token的有效期,放行。如下图所示。
拦截器的添加需要两步:书写拦截器,设置拦截器起作用。
创建一个拦截器的文件:utils/loginInterceptor.java,然后创建设置拦截器的文件:config/MvcConfig
//loginInterceptor
public class LoginInterceptor implements HandlerInterceptor {
private StringRedisTemplate stringRedisTemplate;
public LoginInterceptor(StringRedisTemplate stringRedisTemplate) {
this.stringRedisTemplate=stringRedisTemplate;
}
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 获取session
// HttpSession session = request.getSession();
// Object user = session.getAttribute("user");
//获取请求头中的token
String token = request.getHeader("authorization");
if (StrUtil.isBlank(token)) {
response.setStatus(401);
return false;
}
//基于token获取redis中的用户
String key=RedisConstants.LOGIN_USER_KEY + token;
Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(key);
//判断用户是否存在,如果不存在则进行拦截
if (userMap.isEmpty()){
response.setStatus(401);
return false;
}
//将查询到的hash数据转为UserDTO对象
UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);
//保存用户信息到ThreadLocal
UserHolder.saveUser(userDTO);
//刷新token有效期
stringRedisTemplate.expire(key,RedisConstants.LOGIN_USER_TTL, TimeUnit.MINUTES);
//放行
return true;
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
HandlerInterceptor.super.afterCompletion(request, response, handler, ex);
//移除用户
UserHolder.removeUser();
}
}
//MvcConfig
@Configuration
public class MvcConfig implements WebMvcConfigurer {
@Resource
private StringRedisTemplate stringRedisTemplate;
@Override
public void addInterceptors(InterceptorRegistry registry) {
//除了下列链接其他都拦截
registry.addInterceptor(new LoginInterceptor()).excludePathPatterns(
"/shop/**",
"/voucher/**",
"/shop-type/**",
"/upload/**",
"/blog/hot",
"/user/code",
"/user/login"
).order(1);
}
}
但是如果用户访问的是不需要登录的界面比如首页,虽然用户非常活跃,但是过了有效期后token依旧失效了,这样用户的体验感并不好,因此需要进行优化。如下图所示,在拦截器外再加一个拦截器,第一个拦截器拦截所有的页面,第二个确保token的刷新。
