session实现登录以及session与Cookie的关系
基于session实现登录
发送短信验证码:
public Result sendCode(String phone, HttpSession session) {
// 1.校验手机号
if (RegexUtils.isPhoneInvalid(phone)) {
// 2.不合法返回错误
returnt.fail("手机号格式错误");
}
// 3.合法,生成验证码
String code = RandomUtil.randomNumbers(6);
// 4.保存到session
session.setAttribute(phone, code);
// 5.发送验证码
log.info("手机验证码:{}", code);
return Result.ok(code);
}
短信验证码登录、注册:
public Result login(LoginFormDTO loginForm, HttpSession session) {
String code = loginForm.getCode();
String phone = loginForm.getPhone();
// 1.校验手机号
if(RegexUtils.isPhoneInvalid(phone)){
return Result.fail("手机号格式错误");
}
// 2.校验验证码
Object cacheCode = session.getAttribute(phone);
if(cacheCode == null || !cacheCode.toString().equals(code)){
// 3.不合法,返回错误信息
return Result.fail("验证码错误");
}
// 4.合法,根据手机号查询用户
User user = query().eq("phone", phone).one();
// 5.用户存在,跳过
// 6.用户不存在
if(user == null){
// 6.1 注册
user = createUserWithPhone(phone);
}
// 7 保存到session中
session.setAttribute("user", user);
return Result.ok();
}
校验登录状态
校验登录是放在拦截器中的,这样每个业务不用单独再实习校验登录,但是这样会出现线程安全问题,可以用TreadLocal(线程级,tomcat中每个请求都会有一个独立线程)。
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 1.获取session
HttpSession session = request.getSession();
// 2.获取session中的user
Object user = session.getAttribute("user");
// 3.判断user是否存在
if(user == null){
// 4.不存在,拦截 未授权
response.setStatus(401);
return false;
}
// 5.存在,保存用户信息到ThreadLocal中
UserHolder.saveUser((User) user);
// 6.放行
return true;
}
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
// 移除用户
UserHolder.removeUser();
}
public class UserHolder {
private static final ThreadLocal<User> tl = new ThreadLocal<>();
public static void saveUser(User user){
tl.set(user);
}
public static User getUser(){
return tl.get();
}
public static void removeUser(){
tl.remove();
}
}
@Configuration
public class MvcConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new LoginInterceptor())
.excludePathPatterns(
"/user/code",
"/user/login",
"/blog/hot",
"/shop/**",
"/shop-type/**",
"/upload/**",
"/voucher/**"
);
}
}
session与Cookie
Cookie
因为session是基于Cookie的,故先聊聊cookie。
Cookie是由Web服务器发送到用户浏览器并存储在用户计算机的小型数据文件,用来在用户访问网站时存储和发送有关用户信息,帮助网站记住用户的状态和偏好。
session简介
session(域对象),用于一次会话期间保存共享数据的对象。
session是基于Cookie的,用户第一次使用session时(访问页面),服务器会为为用户创建一个session域对象,使用jsessionid和session对象关联,以后请求体都会增加:jessionid=xxxx。
session管理
- Cookie:服务器通过设置一个带有jsessionid的cookie发送给客户端。之后的每次请求,浏览器自动附带该cookie,便于服务器识别对应的会话。
- URL重写:某些情况下,cookie无法使用(被禁用等),jsessionid附加到URL中,格式为
URL;jsessionid=xxxx。 - JWT令牌, 一种用于安全传输信息的紧凑的URL安全的令牌格式(头部,负载,签名)。
session的作用
- Session是为了解决HTTP无状态性问题。
- session解决Cookie的局限:Cookie过多时,增加了客户端与服务端的数据传输量,而且浏览器对Cookie是有数量限制的,所以我们不能在Cookie中保存过多的信息。
- session的作用就是在服务器端保存一些用户数据,然后传递给用户一个名为jsessionid的Cookie,一个jsessionid对应一个session对象,通过jsessionid就可以获取到用户的信息
- 常用于用户身份认证、个性化设置、购物车功能等。
session的安全性
为了保障Session的安全性,防止会话劫持(如Session Fixation攻击),通常会采取以下措施:
- session ID的随机性和不可预测性: 确保Session ID的生成是随机的,且不可预测。
- HTTPS: 使用HTTPS加密传输数据,防止session ID在传输过程中被窃取。
- session固定攻击的防护: 在用户登录后重新生成session ID。
- session过期时间: 设置合理的session过期时间,防止长期未操作的session被利用。
浙公网安备 33010602011771号