使用Redis实现短信登入的流程

发送短信验证码流程

校验登录流程

与之前使用Session登入相比，流程发生了比较大的变化。

总的来说有以下几点：

（1）之前的生成验证码后，我们会将其存放在Session中，每一个不同的请求就会对应一个Session，它们的SessionID肯定是唯一的；而现在是存在Redis中，它的key肯定不能是简单的指定"code"，所以我们使用手机号作为key，验证码作为value，这样保证key的唯一性。

（2）登入注册的时候创建用户（已有用户），用户信息需要保存到Redis中，此时的key建议用一个随机的token（建议不要用手机号码，因为之后这个token会传入前端，有泄露风险！），value存放用户信息。所以这里返回token给客户端（浏览器），为的就是之后在校验的时候可以拿着token去Redis中取数据进行校验！

（3）最开始的登入校验，之前是Session与Cookie，当使用了Session，它会自动将SessionID传入Cookie中，每次请求都会携带Cookie，就相当于带着SessionID去查找用户。而现在是用请求中携带的token去Redis中获取用户数据。

分步实现发送短信登入

（1）发送短信验证码

与之前Session的方式基本一致，只是在保存验证码的时候是保存到Redis中。

UserService

@Override
public Result sendCode(String phone, HttpSession session) {
    //1. 校验手机号
    if (RegexUtils.isPhoneInvalid(phone)) {
        //2.如果不符合，返回错误信息
        return Result.fail("手机号格式错误");
    }

    //3. 符合，生成验证码
    String code = RandomUtil.randomNumbers(6);

    //4. 保存验证码到Redis
    // 可以加上一个业务前缀来区分
    // 设置验证码的有效期 Redis的key有效期
    // ("login:code:" + phone,code,2, TimeUnit.MINUTES)
    stringRedisTemplate.opsForValue().set(LOGIN_CODE_KEY + phone,code, LOGIN_CODE_TTL, TimeUnit.MINUTES);

    //5. 发送验证码
    log.debug("发送短信验证码成功，验证码:{}",code);

    //返回ok
    return Result.ok();
}

上述代码使用到了一些常量，我们这里是用一个工具类RedisConstants 去声明一些常量。

public class RedisConstants {
    public static final String LOGIN_CODE_KEY = "login:code:";
    public static final Long LOGIN_CODE_TTL = 2L;
    public static final String LOGIN_USER_KEY = "login:token:";
    public static final Long LOGIN_USER_TTL = 36000L;

    public static final Long CACHE_NULL_TTL = 2L;

    public static final Long CACHE_SHOP_TTL = 30L;
    public static final String CACHE_SHOP_KEY = "cache:shop:";

    public static final String LOCK_SHOP_KEY = "lock:shop:";
    public static final Long LOCK_SHOP_TTL = 10L;

    public static final String SECKILL_STOCK_KEY = "seckill:stock:";
}

（2）短信登入、注册

需要改动的东西较多。

首先我们需要从Redis中获取验证码，并进行校验；
然后要将用户信息与随机生成的token一起存放到redis中；
最后再设置一下token的有效期。

UserService

@Override
public Result login(LoginFormDTO loginForm, HttpSession session) {

    //1. 校验手机号
    String phone = loginForm.getPhone();
    if (RegexUtils.isPhoneInvalid(phone)) {
        return Result.fail("手机号格式错误");
    }

    //2. 从redis获取验证码并校验
    String cacheCode = stringRedisTemplate.opsForValue().get(LOGIN_CODE_KEY + phone);
    String code = loginForm.getCode();
    if (cacheCode == null || !cacheCode.toString().equals(code)){
        //3. 不一致，报错
        return Result.fail("验证码错误");
    }

    //4.一致，根据手机号查询用户
    User user = query().eq("phone", phone).one();

    //5. 判断用户是否存在
    if (user == null){
        //6. 不存在，创建新用户
        user = createUserWithPhone(phone);
    }

    //7.保存用户信息到redis
    //7.1 生成随机token作为登入令牌
    String token = UUID.randomUUID().toString(true);

    //7.2 将User对象作为HashMap存储
    UserDTO userDTO = BeanUtil.copyProperties(user, UserDTO.class);
    // 注意！！！
    // 这里要是数据不处理会报错，UserDTO中有long类型的数据，
    //而后面stringRedisTempalte中的数据要求是必须string类型的才可以！！！
    Map<String, Object> userMap = BeanUtil.beanToMap(userDTO,new HashMap<>(),
            CopyOptions.create().setIgnoreNullValue(true).setFieldValueEditor((fileName,fileValue) -> fileValue.toString()));

    //7.3 存储
    String tokenKey = LOGIN_USER_KEY + token;
    stringRedisTemplate.opsForHash().putAll(tokenKey,userMap);

    //7.4设置token的有效期
    stringRedisTemplate.expire(tokenKey,LOGIN_USER_TTL,TimeUnit.MINUTES);

    //8.返回token
    return Result.ok(token);
}

创建用户

private User createUserWithPhone(String phone) {

    // 1.创建用户
    User user = new User();
    user.setPhone(phone);
    user.setNickName(USER_NICK_NAME_PREFIX + RandomUtil.randomString(10));

    // 2.保存用户
    save(user);
    return user;
}

这里提到了一个token的概念，那什么是token呢？

Token简介

所谓的Token，其实就是服务端生成的一串加密字符串、以作客户端进行请求的一个“令牌”。

当用户第一次使用账号密码成功进行登录后，服务器便生成一个Token及Token失效时间并将此返回给客户端；若成功登陆，以后客户端只需在有效时间内带上这个Token前来请求数据即可，无需再次带上用户名和密码。

我们这里是将token放在请求头中进行传递！

在common.js中代码如下：?

// request拦截器，将用户token放入头中
let token = sessionStorage.getItem("token");
axios.interceptors.request.use(
  config => {
    if(token) config.headers['authorization'] = token
    return config
  },
  error => {
    console.log(error)
    return Promise.reject(error)
  }
)

这里请求头是authorization，在后面?RefreshTokenInterceptor?拦截器中有用到！?

（3）校验登入状态

MvcConfig?

@Configuration
public class MvcConfig implements WebMvcConfigurer {

    @Autowired
    private LoginInterceptor loginInterceptor;

    @Autowired
    private RefreshTokenInterceptor refreshTokenInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 登录拦截器
        registry.addInterceptor(loginInterceptor)
                .excludePathPatterns(
                        "/shop/**",
                        "/voucher/**",
                        "/shop-type/**",
                        "/upload/**",
                        "/blog/hot",
                        "/user/code",
                        "/user/login"
                ).order(1);

        // token刷新的拦截器
        registry.addInterceptor(refreshTokenInterceptor)
                .addPathPatterns("/**").order(0);
    }
}

LoginInterceptor?

@Component
public class LoginInterceptor implements HandlerInterceptor {

    // 基于Redis设置的拦截器
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        //判断是否要拦截
        if (UserHolder.getUser() == null) {
            response.setStatus(401);
            return false;
        }

        //有用户，放行
        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        //移除用户
        UserHolder.removeUser();
    }
}

RefreshTokenInterceptor??

这里使用request.getHeader() 获取请求头，通过authorization拿到token。

@Component
public class RefreshTokenInterceptor implements HandlerInterceptor {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 1.获取请求头中的token
        String token = request.getHeader("authorization");
        if (StrUtil.isBlank(token)) {
            return true;
        }
        // 2.基于TOKEN获取redis中的用户
        String key  = LOGIN_USER_KEY + token;
        Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(key);
        // 3.判断用户是否存在
        if (userMap.isEmpty()) {
            return true;
        }
        // 5.将查询到的hash数据转为UserDTO
        UserDTO userDTO = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);
        // 6.存在，保存用户信息到 ThreadLocal
        UserHolder.saveUser(userDTO);
        // 7.刷新token有效期
        stringRedisTemplate.expire(key, LOGIN_USER_TTL, TimeUnit.MINUTES);
        // 8.放行
        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // 移除用户
        UserHolder.removeUser();
    }
}

这里使用了两个拦截器的原因如下

先看这一张图，这是我们之前的方案，只用一个拦截器，拦截的是需要做登入校验的路径。

但是问题来了！如果用户登入后，访问的都是无需登入就可以看的页面，也就是说这个拦截器不生效！而token有效期就不会刷新！当有效期一到就会自动登出！