Redis从入门到精通(四)Redis实战：短信登录

文章目录

前言
第4章 Redis实战：短信登录
- 4.1 基于session实现短信登录
- - 4.1.1 短信登录逻辑梳理
  - 4.1.2 创建测试项目
  - 4.1.3 实现发送短信验证码功能
  - 4.1.4 实现用户登录功能
  - 4.1.5 实现登录拦截功能
  - 4.1.6 session共享问题
- 4.2 基于Redis实现短信登录
- - 4.2.1 Key-Value的结构设计
  - 4.2.2 发送短信验证码功能改造
  - 4.2.3 用户登录功能改造
  - 4.2.4 登录拦截功能改造

前言

前面三章我们对Redis的基础知识进行了深入的学习，已经掌握了Redis的基本使用方法。

Redis从入门到精通(一)Redis安装与启动、Redis客户端的使用
Redis从入门到精通(二)Redis的数据类型和常见命令介绍
Redis从入门到精通(三)Jedis客户端、SpringDataRedis客户端

接下来的第4章开始进入实战环节，来学习一个Redis实战项目：短信登录。

第4章 Redis实战：短信登录

短信登录功能可以基于session实现，也可以基于Redis实现，下面分别介绍这两种方式。

4.1 基于session实现短信登录

4.1.1 短信登录逻辑梳理

1）发送验证码

用户在登录页面输入手机号，点击“发送验证码”按钮。后台收到请求后，校验手机号是否符合格式，如果不符合，则要求用户重新输入手机号。

如果符合，后台随机生成6位数字的验证码，并将验证码保存到session，然后再通过短信的方式将验证码发送给用户（由于没有短信网关，可以使用打印日志的方式模拟）。
2）登录与注册

用户获取到验证码后，输入手机号和验证码，并点击“登录”按钮。后台收到请求后，从session中获取之前保存好的验证码，并与用户提交的验证码进行比对，如果不一致，则登录失败。

如果一致，则根据手机号查询数据库的用户信息，如果用户不存在，则创建一个新的用户保存到数据库，如果存在，则直接获取；然后将用户信息保存到session中，方便后续获取当前登录用户信息。
3）校验登录状态

用户发起的请求，除了获取验证码、用户登录等少数指定的请求外，一般都要求用户必须处于登录状态。如果用户并非处于登录状态，说明这是一个非法请求，必须进行拦截。

用户发起这些请求时，后台进行拦截，然后从session中拿到用户信息。如果没有获取到用户信息，则表示没有用户没有登录，要进行拦截。如果获取到了用户信息，则说明用户已经登录了，则放行。

在这里插入图片描述

4.1.2 创建测试项目

下面以一个SpringBoot项目来进行测试。

由于项目的创建不是学习的重点，这里不进行详述。该测试项目的代码已打包上传，有需要请到本文顶部下载绑定的代码资源。

4.1.3 实现发送短信验证码功能

接口文档

项目说明
请求方式 GET
请求路径 /user/code
请求参数 phone
返回值无
代码实现

项目	说明
请求方式	GET
请求路径	/user/code
请求参数	phone
返回值	无

在controller目录下的UserController类中实现该接口：

@GetMapping("/code")
public BaseResult<String> sendCode(String phone, HttpSession httpSession) {// 1.校验手机号格式if(RegexUtils.isPhoneInvalid(phone)) {// 2.如果不符合，返回错误信息return BaseResult.setFail("手机号输入有误！");}// 3.符合，随机生成6位数验证码String code = String.valueOf((int)(Math.random() * 900000 + 100000));// 4.将验证码保存到sessionhttpSession.setAttribute("code", code);// 5.短信方式发送验证码log.info("发送短信验证码成功，验证码：{}", code);// 6.返回成功return BaseResult.setOk("短信验证码已成功发送至手机号" + phone + "，请注意查收！");
}

功能测试

在这里插入图片描述

特别要注意的是，由于我们是使用HTTP工具进行发包测试的，所以需要设置一下Cookies，因为后端是利用Cookies中的JSESSIONID参数来创建session的。为了确保多次请求拿到的session是同一个，Cookies也必须要一致。

在这里插入图片描述

4.1.4 实现用户登录功能

接口文档

项目说明
请求方式 POST
请求路径 /user/login
请求参数 phone,code
返回值无
代码实现

项目	说明
请求方式	POST
请求路径	/user/login
请求参数	phone,code
返回值	无

在UserController类中编写一个用户登录方法：

@Resource
private IUserService userService;@PostMapping("/login")
public BaseResult login(@RequestBody LoginForm loginForm, HttpSession httpSession) {log.info("用户开始登录...{}", loginForm.toString());// 1.校验手机号if(RegexUtils.isPhoneInvalid(loginForm.getPhone())) {// 2.如果不符合，返回错误信息return BaseResult.setFail("手机号输入有误！");}// 3.从session中获取验证码并校验Object cacheCode = httpSession.getAttribute("code");if(cacheCode == null || !cacheCode.toString().equals(loginForm.getCode())) {// 4.验证码不一致，返回错误信息return BaseResult.setFail("验证码错误！");}// 5.一致，根据手机号查询用户User user = userService.query().eq("phone", loginForm.getPhone()).one();if(user == null) {// 6.用户不存在，则创建一个用户user = new User();user.setPhone(loginForm.getPhone());user.setNickName(loginForm.getPhone());userService.save(user);}// 7.将用户信息保存到session中httpSession.setAttribute("user", user);log.info("{} 登录成功...", loginForm.getPhone());return BaseResult.setOk("登录成功");
}

功能测试

在这里插入图片描述

4.1.5 实现登录拦截功能

接口文档

用户发起的请求，除了获取验证码、登录等少数指定的请求外，一般都要求用户必须处于登录状态。如果用户并非处于登录状态，说明这是一个非法请求，必须进行拦截。

可以通过拦截器来实现这个功能。

代码实现

要创建一个拦截器，只需要创建一个类LoginInterceptor，实现org.springframework.web.servlet.HandlerInterceptor接口，并重写其preHandle()方法。

public class LoginInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 1.获取sessionHttpSession session = request.getSession();// 2.获取session中的用户Object user = session.getAttribute("user");// 3.判断用户是否存在if(user == null){// 4.不存在，拦截，返回401状态码response.setStatus(401);return false;}// 5.存在，放行return true;}
}

其次，要对自定义的拦截器进行注册，让其生效：

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 登录拦截器，排除获取验证码和登录请求registry.addInterceptor(new LoginInterceptor()).excludePathPatterns("/user/code","/user/login").order(1);}
}

功能测试

在未登录的情况下发送请求/user/info，报401，说明没有通过拦截器的校验：

在这里插入图片描述

4.1.6 session共享问题

基于session实现短信登录，在服务端单机的情况下是没问题的，但如果服务端采用集群方式，则会出现session共享问题。

每个tomcat中都有一份属于自己的session。假设用户第一次访问第一台tomcat，并且把自己的信息存放到第一台服务器的session中，但是第二次这个用户访问到了第二台tomcat，那么在第二台服务器上肯定没有第一台服务器存放的session，所以此时整个登录拦截功能就会出现问题。

早期的解决方案是session拷贝，即当任意一台服务器的session修改时，都会同步给其他的Tomcat服务器的session，这样就可以实现session的共享。但这种方法也有弊端：第一，每台服务器中都有完整的一份session数据，服务器压力过大；第二，session拷贝数据时，可能会出现延迟。

基于此，更好的解决方案是基于Redis来完成，而且Redis数据本身就是共享的。

4.2 基于Redis实现短信登录

4.2.1 Key-Value的结构设计

由于本案例中要存入Redis的数据比较简单，因此可以考虑使用String类型或Hash类型来存储数据。

这两种方式各有优点，String类型以JSON字符串保存数据，比较直观；而Hash类型可以将对象的每个字段独立存储，可以针对单个字段做CRUD，比较方便。最终根据实际需要选择即可，本案例选择使用String类型。

在基于session实现时，每个用户都有一个独享的session。但Redis的Key是共享的，因此不能再使用基于session方式中的"code"、"user"作为Key值。

在设计Key时，需要满足两点要求：第一，Key要有唯一性；第二，Key要方便携带。

在本案例中，如果采用手机号作为Key当然可以，它具备唯一性且方便携带，并且和验证码息息相关。但从安全角度看，手机号毕竟属于敏感数据，每次请求都携带手机号是不合适的。

综合考虑，本案例将采用login:code:{phone}作为保存验证码的Key；而保存用户信息的Key，会在后台生成一个随机串token，采用login:user:{token}作为Key，让用户每次请求都携带这个token。

4.2.2 发送短信验证码功能改造

代码实现（关注修改部分）

@Resource
private StringRedisTemplate stringRedisTemplate;@GetMapping("/code")
public BaseResult<String> sendCode(String phone, HttpSession httpSession) {// 1.校验手机号if(RegexUtils.isPhoneInvalid(phone)) {// 2.如果不符合，返回错误信息return BaseResult.setFail("手机号输入有误！");}// 3.符合，随机生成验证码String code = String.valueOf((int)(Math.random() * 900000 + 100000));// 4.将验证码保存到session// httpSession.setAttribute("code", code);// 修改：将验证码保存到Redis// 采用 login:code:{phone} 作为保存验证码的KeystringRedisTemplate.opsForValue().set("login:code:" + phone, code);// 5.短信方式发送验证码log.info("发送短信验证码成功，验证码：{}", code);// 6.返回成功return BaseResult.setOk("短信验证码已成功发送至手机号" + phone + "，请注意查收！");
}

功能测试

调用获取验证码接口/user/code?phone=18922102123后，查看Redis中的数据：

在这里插入图片描述

4.2.3 用户登录功能改造

代码实现（关注修改部分）

@PostMapping("/login")
public BaseResult<String> login(@RequestBody LoginForm loginForm, HttpSession httpSession) throws JsonProcessingException {log.info("用户开始登录...{}", loginForm.toString());// 1.校验手机号if(RegexUtils.isPhoneInvalid(loginForm.getPhone())) {// 2.如果不符合，返回错误信息return BaseResult.setFail("手机号输入有误！");}// 3.从session中获取验证码并校验// Object cacheCode = httpSession.getAttribute("code");// 修改：从Redis中获取验证码String cacheCode = stringRedisTemplate.opsForValue().get("login:code:" + loginForm.getPhone());if(cacheCode == null || !cacheCode.toString().equals(loginForm.getCode())) {// 4.验证码不一致，返回错误信息return BaseResult.setFail("验证码错误！");}// 5.一致，根据手机号查询用户User user = userService.query().eq("phone", loginForm.getPhone()).one();if(user == null) {// 6.用户不存在，则创建一个用户user = new User();user.setPhone(loginForm.getPhone());user.setNickName(loginForm.getPhone());userService.save(user);}// 7.将用户信息保存到session中// httpSession.setAttribute("user", user);// 修改：将用户信息保存到Redis中// 随机生成tokenString token = UUID.randomUUID().toString();log.info("token = {}", token);// 保存到RedisstringRedisTemplate.opsForValue().set("login:user:" + token, new ObjectMapper().writeValueAsString(user));// 设置token有效期：2小时stringRedisTemplate.expire("login:user:" + token, 2, TimeUnit.HOURS);log.info("{} 登录成功...", loginForm.getPhone());// 将token返回给前端return BaseResult.setOkWithData(token);
}

功能测试

调用用户登录接口/user/login后，查看Redis中的数据：

在这里插入图片描述

4.2.4 登录拦截功能改造

代码实现（关注修改部分）

@Slf4j
public class LoginInterceptor implements HandlerInterceptor {private StringRedisTemplate stringRedisTemplate;public LoginInterceptor(StringRedisTemplate stringRedisTemplate) {this.stringRedisTemplate = stringRedisTemplate;}@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 1.获取session// HttpSession session = request.getSession();// 2.获取session中的用户// Object user = session.getAttribute("user");// 修改：基于用户token获取Redis中的用户信息// 获取用户携带的tokenString token = request.getHeader("authorization");log.info("token from client => {}", token);// 基于token获取Redis中的用户信息String userJosn = stringRedisTemplate.opsForValue().get("login:user:" + token);log.info("user from redis => {}", userJosn);// 转为Java对象User user = null;if(StrUtil.isNotBlank(userJosn)) {user = new ObjectMapper().readValue(userJosn, User.class);}// 3.判断用户是否存在if(user == null){// 4.不存在，拦截，返回401状态码response.setStatus(401);return false;}// 5.存在，放行return true;}
}

注册LoginInterceptor时传入StringRedisTemplate实例：

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {@Resourceprivate StringRedisTemplate stringRedisTemplate;@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 登录拦截器，排除获取验证码和登录请求registry.addInterceptor(new LoginInterceptor(stringRedisTemplate)).excludePathPatterns("/user/code","/user/login").order(1);}
}