springboot + vue + sso单点登录 + 短信验证码 + JWT 实现登录注册功能
用户登录业务介绍
1.1、单一服务器模式
早期单一服务器,用户认证。
缺点:单点性能压力,无法扩展。
1.2、SSO(single sign on)模式
分布式,SSO(single sign on)模式
单点登录常见的方式
优点 :
- 用户身份信息独立管理,更好的分布式管理。
- 可以自己扩展安全策略
缺点:
- 认证服务器访问压力较大。
1.3、Token模式
业务流程图{用户访问业务时,必须登录的流程}
优点:
- 无状态: token无状态,session有状态的
- 基于标准化: 你的API可以采用标准化的 JSON Web Token (JWT)
缺点:
- 占用带宽
- 无法在服务器端销毁
注:基于微服务开发,选择token的形式相对较多。
JWT介绍
2.1、使用JWT进行跨域身份验证
2.1.1、传统用户身份验证
Internet服务无法与用户身份验证分开。一般过程如下:
- 用户向服务器发送用户名和密码。
- 验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。
- 服务器向用户返回session_id,session信息都会写入到用户的Cookie。
- 用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。
- 服务器收到session_id并对比之前保存的数据,确认用户的身份。
这种模式最大的问题是,没有分布式架构,无法支持横向扩展。
2.1.2、解决方案
- session广播
- 将透明令牌存入cookie,将用户身份信息存入redis
另外一种灵活的解决方案:使用自包含令牌,通过客户端保存数据,而服务器不保存会话数据。 JWT是这种解决方案的代表。
2.2、JWT令牌
2.2.1、访问令牌的类型
2.2.2、JWT的组成
典型的,一个JWT看起来如下图:
该对象为一个很长的字符串,字符之间通过”.”分隔符分为三个子串。
每一个子串表示了一个功能块,总共有以下三个部分:JWT头、有效载荷和签名。
JWT头
JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。
{
“alg”: “HS256”,
“typ”: “JWT”
}
在上面的代码中,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统一写为JWT。最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。
有效载荷
有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。
iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT
除以上默认字段外,我们还可以自定义私有字段,如下例:
{"sub": "1234567890","name": "Helen","admin": true}
请注意,默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。
JSON对象也使用Base64 URL算法转换为字符串保存。
签名哈希
签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。
首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。
HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(claims), secret)
在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用”.”分隔,就构成整个JWT对象。
Base64URL算法
如前所述,JWT头和有效载荷序列化的算法都用到了Base64URL。该算法和常见Base64算法类似,稍有差别。
作为令牌的JWT可以放在URL中(例如api.example/?token=xxx)。 Base64中用的三个字符是”+“,”/“和”=“,由于在URL中有特殊含义,因此Base64URL中对他们做了替换:”=“去掉,”+“用”-“替换,”/“用”_“替换,这就是Base64URL算法。
2.2.3、JWT的原则
JWT的原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,如下所示。
{"sub": "1234567890","name": "Helen","admin": true}
之后,当用户与服务器通信时,客户在请求中发回JSON对象。服务器仅依赖于这个JSON对象来标识用户。为了防止用户篡改数据,服务器将在生成对象时添加签名。
服务器不保存任何会话数据,即服务器变为无状态,使其更容易扩展。
2.2.4、JWT的用法
客户端接收服务器返回的JWT,将其存储在Cookie或localStorage中。
此后,客户端将在与服务器交互中都会带JWT。如果将它存储在Cookie中,就可以自动发送,但是不会跨域,因此一般是将它放入HTTP请求的Header Authorization字段中。当跨域时,也可以将JWT被放置于POST请求的数据主体中。
2.2.5、JWT问题和趋势
- JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
- 生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库。
- 存储在客户端,不占用服务端的内存资源。
- JWT默认不加密,但可以加密。生成原始令牌后,可以再次对其进行加密。
- 当JWT未加密时,一些私密数据无法通过JWT传输。
- JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
- JWT本身包含认证信息,token是经过base64编码,所以可以解码,因此token加密前的对象不应该包含敏感信息,一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。
- 为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。
2.3、springboot整合JWT
2.3.1、引入依赖
<!-- JWT--><dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId></dependency>
2.3.2、创建JWT工具类
package com.atguigu.commonutils;import io.jsonwebtoken.Claims;import io.jsonwebtoken.Jws;import io.jsonwebtoken.Jwts;import io.jsonwebtoken.SignatureAlgorithm;import org.springframework.http.server.reactive.ServerHttpRequest;import org.springframework.util.StringUtils;import javax.servlet.http.HttpServletRequest;import java.util.Date;/*** JWT工具类*/public class JwtUtils {//常量public static final long EXPIRE = 1000 * 60 * 60 * 24; //token过期时间public static final String APP_SECRET = "ukc8BDbRigUDaY6pZFfWus2jZWLPHO"; //秘钥//生成token字符串的方法public static String getJwtToken(String id, String nickname){String JwtToken = Jwts.builder().setHeaderParam("typ", "JWT").setHeaderParam("alg", "HS256").setSubject("guli-user").setIssuedAt(new Date()).setExpiration(new Date(System.currentTimeMillis() + EXPIRE)).claim("id", id) //设置token主体部分 ,存储用户信息.claim("nickname", nickname).signWith(SignatureAlgorithm.HS256, APP_SECRET).compact();return JwtToken;}/*** 判断token是否存在与有效* @param jwtToken* @return*/public static boolean checkToken(String jwtToken) {if(StringUtils.isEmpty(jwtToken)) return false;try {Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);} catch (Exception e) {e.printStackTrace();return false;}return true;}/*** 判断token是否存在与有效* @param request* @return*/public static boolean checkToken(HttpServletRequest request) {try {String jwtToken = request.getHeader("token");if(StringUtils.isEmpty(jwtToken)) return false;Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);} catch (Exception e) {e.printStackTrace();return false;}return true;}/*** 根据token字符串获取会员id* @param request* @return*/public static String getMemberIdByJwtToken(HttpServletRequest request) {String jwtToken = request.getHeader("token");if(StringUtils.isEmpty(jwtToken)) return "";Jws<Claims> claimsJws = Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);Claims claims = claimsJws.getBody();return (String)claims.get("id");}}
阿里云 短信服务
3.1、开通阿里云短信服务
3.1.1、进入短信服务
3.1.2、快速学习,创建自己的模板和签名
3.1.3、审核通过
3.2、springboot整合短信服务
3.2.1、创建短信服务模块
3.2.2、配置application.properties
# 服务端口server.port=8005# 服务名spring.application.name=service-msm# mysql数据库连接spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driverspring.datasource.url=jdbc:mysql://localhost:3306/guli_education?serverTimezone=GMT%2B8spring.datasource.username=rootspring.datasource.password=zzybzbspring.redis.host=127.0.0.1spring.redis.port=6379spring.redis.database= 0spring.redis.timeout=1800000spring.redis.lettuce.pool.max-active=20spring.redis.lettuce.pool.max-wait=-1#最大阻塞等待时间(负数表示没限制)spring.redis.lettuce.pool.max-idle=5spring.redis.lettuce.pool.min-idle=0#最小空闲#返回json的全局时间格式spring.jackson.date-format=yyyy-MM-dd HH:mm:ssspring.jackson.time-zone=GMT+8#mybatis日志mybatis-plus.configuration.log-impl=org.apache.ibatis.logging.stdout.StdOutImpl# nacos服务地址spring.cloud.nacos.discovery.server-addr=127.0.0.1:8848
3.2.3、创建启动类
@SpringBootApplication(exclude = DataSourceAutoConfiguration.class)//取消数据源自动配置@ComponentScan("com.atguigu")public class MsmApplication {public static void main(String[] args) {SpringApplication.run(MsmApplication.class,args);}}
3.2.4、引入依赖
<dependency><groupId>com.alibaba</groupId><artifactId>fastjson</artifactId></dependency><dependency><groupId>com.aliyun</groupId><artifactId>aliyun-java-sdk-core</artifactId></dependency>
3.2.5、生成随机验证码的工具类
package com.atguigu.msmservice.utils;import java.text.DecimalFormat;import java.util.ArrayList;import java.util.HashMap;import java.util.List;import java.util.Random;/*** 获取随机数** @author qianyi**/public class RandomUtil {private static final Random random = new Random();private static final DecimalFormat fourdf = new DecimalFormat("0000");private static final DecimalFormat sixdf = new DecimalFormat("000000");public static String getFourBitRandom() {return fourdf.format(random.nextInt(10000));}public static String getSixBitRandom() {return sixdf.format(random.nextInt(1000000));}/*** 给定数组,抽取n个数据* @param list* @param n* @return*/public static ArrayList getRandom(List list, int n) {Random random = new Random();HashMap<Object, Object> hashMap = new HashMap<Object, Object>();// 生成随机数字并存入HashMapfor (int i = 0; i < list.size(); i++) {int number = random.nextInt(100) + 1;hashMap.put(number, i);}// 从HashMap导入数组Object[] robjs = hashMap.values().toArray();ArrayList r = new ArrayList();// 遍历数组并打印数据for (int i = 0; i < n; i++) {r.add(list.get((int) robjs[i]));System.out.print(list.get((int) robjs[i]) + "\t");}System.out.print("\n");return r;}}
3.2.6、编写controller,根据手机号发送短信
package com.atguigu.msmservice.controller;import com.atguigu.commonutils.R;import com.atguigu.msmservice.service.MsmService;import com.atguigu.msmservice.utils.RandomUtil;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.data.redis.core.RedisTemplate;import org.springframework.util.StringUtils;import org.springframework.web.bind.annotation.*;import java.util.HashMap;import java.util.Map;import java.util.concurrent.TimeUnit;@RestController@RequestMapping("/edumsm/msm")@CrossOriginpublic class MsmController {@Autowiredprivate MsmService msmService;@Autowiredprivate RedisTemplate<String,String> redisTemplate;//发送短信的方法@GetMapping("send/{phone}")public R sendMsm(@PathVariable String phone) {//1 从redis获取验证码,如果获取到直接返回String code = redisTemplate.opsForValue().get(phone);if(!StringUtils.isEmpty(code)) {return R.ok();}//2 如果redis获取 不到,进行阿里云发送//生成随机值,传递阿里云进行发送code = RandomUtil.getFourBitRandom();Map<String,Object> param = new HashMap<>();param.put("code",code);//调用service发送短信的方法boolean isSend = msmService.send(param,phone);if(isSend) {//发送成功,把发送成功验证码放到redis里面//设置有效时间redisTemplate.opsForValue().set(phone,code,5, TimeUnit.MINUTES);return R.ok();} else {return R.error().message("短信发送失败");}}}
3.2.7、编写service
package com.atguigu.msmservice.service.impl;import com.alibaba.fastjson.JSONObject;import com.aliyuncs.CommonRequest;import com.aliyuncs.CommonResponse;import com.aliyuncs.DefaultAcsClient;import com.aliyuncs.IAcsClient;import com.aliyuncs.http.MethodType;import com.aliyuncs.profile.DefaultProfile;import com.atguigu.msmservice.service.MsmService;import org.springframework.stereotype.Service;import org.springframework.util.StringUtils;import java.util.Map;@Servicepublic class MsmServiceImpl implements MsmService {//发送短信的方法@Overridepublic boolean send(Map<String, Object> param, String phone) {if(StringUtils.isEmpty(phone)) return false;DefaultProfile profile =DefaultProfile.getProfile("default", "自己的阿里云oss的keyid", "自己阿里云oss的keysecret");IAcsClient client = new DefaultAcsClient(profile);//设置相关固定的参数CommonRequest request = new CommonRequest();//request.setProtocol(ProtocolType.HTTPS);request.setMethod(MethodType.POST);request.setDomain("dysmsapi.aliyuncs.com");request.setVersion("2017-05-25");request.setAction("SendSms");//设置发送相关的参数request.putQueryParameter("PhoneNumbers",phone); //手机号request.putQueryParameter("SignName","短信签名名称"); //申请阿里云 签名名称request.putQueryParameter("TemplateCode","短信模板code"); //申请阿里云 模板coderequest.putQueryParameter("TemplateParam", JSONObject.toJSONString(param)); //验证码数据,转换json数据传递try {//最终发送CommonResponse response = client.getCommonResponse(request);boolean success = response.getHttpResponse().isSuccess();return success;}catch(Exception e) {e.printStackTrace();return false;}}}
登录注册后端
4.1、创建用户模块
4.2、配置文件application
# 服务端口server.port=8006# 服务名spring.application.name=service-ucenter# mysql数据库连接spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driverspring.datasource.url=jdbc:mysql://localhost:3306/guli_education?serverTimezone=GMT%2B8spring.datasource.username=rootspring.datasource.password=zzybzbspring.redis.host=127.0.0.1spring.redis.port=6379spring.redis.database= 0spring.redis.timeout=1800000spring.redis.lettuce.pool.max-active=20spring.redis.lettuce.pool.max-wait=-1#最大阻塞等待时间(负数表示没限制)spring.redis.lettuce.pool.max-idle=5spring.redis.lettuce.pool.min-idle=0#最小空闲#返回json的全局时间格式spring.jackson.date-format=yyyy-MM-dd HH:mm:ssspring.jackson.time-zone=GMT+8#配置mapper xml文件的路径mybatis-plus.mapper-locations=classpath:com/atguigu/educenter/mapper/xml/*.xml#mybatis日志mybatis-plus.configuration.log-impl=org.apache.ibatis.logging.stdout.StdOutImpl# nacos服务地址spring.cloud.nacos.discovery.server-addr=127.0.0.1:8848
4.3、创建RegisterVo用于接收注册数据封装
@Datapublic class RegisterVo {@ApiModelProperty(value = "昵称")private String nickname;@ApiModelProperty(value = "手机号")private String mobile;@ApiModelProperty(value = "密码")private String password;@ApiModelProperty(value = "验证码")private String code;}
4.4、MD5加密工具类
package com.atguigu.commonutils;import java.security.MessageDigest;import java.security.NoSuchAlgorithmException;public final class MD5 {public static String encrypt(String strSrc) {try {char hexChars[] = {'0', '1', '2', '3', '4', '5', '6', '7', '8','9', 'a', 'b', 'c', 'd', 'e', 'f' };byte[] bytes = strSrc.getBytes();MessageDigest md = MessageDigest.getInstance("MD5");md.update(bytes);bytes = md.digest();int j = bytes.length;char[] chars = new char[j * 2];int k = 0;for (int i = 0; i < bytes.length; i++) {byte b = bytes[i];chars[k++] = hexChars[b >>> 4 & 0xf];chars[k++] = hexChars[b & 0xf];}return new String(chars);} catch (NoSuchAlgorithmException e) {e.printStackTrace();throw new RuntimeException("MD5加密出错!!+" + e);}}public static void main(String[] args) {System.out.println(MD5.encrypt("111111"));}}
4.5、controller
package com.atguigu.educenter.controller;import com.atguigu.commonutils.JwtUtils;import com.atguigu.commonutils.R;import com.atguigu.educenter.entity.UcenterMember;import com.atguigu.educenter.entity.vo.RegisterVo;import com.atguigu.educenter.service.UcenterMemberService;import com.atguigu.servicebase.exceptionhandler.GuliException;import io.swagger.annotations.Api;import io.swagger.annotations.ApiOperation;import org.apache.commons.lang.StringUtils;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.web.bind.annotation.*;import javax.servlet.http.HttpServletRequest;/*** <p>* 会员表 前端控制器* </p>** @author pzz* @since 2022-09-17*/@Api("用户登录注册")@RestController@RequestMapping("/educenter/member")@CrossOriginpublic class UcenterMemberController {@Autowiredprivate UcenterMemberService memberService;@ApiOperation("登录")@PostMapping("/login")public R login(@RequestBody UcenterMember ucenterMember){//member对象封装手机号和密码//调用service方法实现登录//返回token值,使用jwt生成String token = memberService.login(ucenterMember);return R.ok().data("token",token);}@ApiOperation("注册")@PostMapping("/register")public R register(@RequestBody RegisterVo registerVo){memberService.register(registerVo);return R.ok();}//根据token获取用户信息@GetMapping("getMemberInfo")public R getMemberInfo(HttpServletRequest request){//调用jwt工具类的方法。根据request对象获取头信息,返回用户idString memberId = JwtUtils.getMemberIdByJwtToken(request);UcenterMember member = memberService.getById(memberId);return R.ok().data("userInfo",member);}}
4.6、service
package com.atguigu.educenter.service.impl;import com.atguigu.commonutils.JwtUtils;import com.atguigu.commonutils.MD5;import com.atguigu.commonutils.R;import com.atguigu.educenter.entity.UcenterMember;import com.atguigu.educenter.entity.vo.RegisterVo;import com.atguigu.educenter.mapper.UcenterMemberMapper;import com.atguigu.educenter.service.UcenterMemberService;import com.atguigu.servicebase.exceptionhandler.GuliException;import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;import com.baomidou.mybatisplus.extension.service.impl.ServiceImpl;import org.apache.commons.lang.StringUtils;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.data.redis.core.RedisTemplate;import org.springframework.stereotype.Service;/*** <p>* 会员表 服务实现类* </p>** @author pzz* @since 2022-09-17*/@Servicepublic class UcenterMemberServiceImpl extends ServiceImpl<UcenterMemberMapper, UcenterMember> implements UcenterMemberService {@Autowiredprivate RedisTemplate<String,String> redisTemplate;/*** 登录* @param ucenterMember* @return*/@Overridepublic String login(UcenterMember ucenterMember) {//获取登录的手机和密码String mobile = ucenterMember.getMobile();String password = ucenterMember.getPassword();//判断输入的手机号和密码是否为空if(StringUtils.isEmpty(mobile) || StringUtils.isEmpty(password)){throw new GuliException(20001,"登录失败:手机和密码不能为空");}//判断手机号是否正确QueryWrapper<UcenterMember> wrapper = new QueryWrapper<>();wrapper.eq("mobile",mobile);UcenterMember ucenterMemberDB = baseMapper.selectOne(wrapper);//判断查询的对象是否为空if(ucenterMemberDB == null){throw new GuliException(20001,"登录失败:手机号不存在");}//判断密码//因为存储到数据库密码肯定加密的//把输入的密码进行加密,再和数据库密码进行比较//加密方式 MD5if(!MD5.encrypt(password).equals(ucenterMemberDB.getPassword())){throw new GuliException(20001,"登录失败:密码错误");}//判断用户是否禁用if (ucenterMemberDB.getIsDisabled()){throw new GuliException(20001,"登录失败:该用户已被禁用");}//登录成功//生成token字符串,使用jwt工具类String token = JwtUtils.getJwtToken(ucenterMemberDB.getId(), ucenterMemberDB.getNickname());return token;}/*** 注册* @param registerVo*/@Overridepublic void register(RegisterVo registerVo) {String nickname = registerVo.getNickname();String mobile = registerVo.getMobile();String password = registerVo.getPassword();String code = registerVo.getCode();//输入的昵称,手机号,密码,验证码都不能为空if(StringUtils.isEmpty(nickname) || StringUtils.isEmpty(mobile) ||StringUtils.isEmpty(password) || StringUtils.isEmpty(code)){throw new GuliException(20001,"注册失败:昵称,手机号,密码,验证码都不能为空");}//判断验证码//获取redis验证码String redisCode = redisTemplate.opsForValue().get(mobile);if(!code.equals(redisCode)){throw new GuliException(20001,"注册失败:验证码错误");}//判断手机号是否重复,表里面存在相同手机号不进行添加QueryWrapper<UcenterMember> wrapper = new QueryWrapper<>();wrapper.eq("mobile",mobile);Integer count = baseMapper.selectCount(wrapper);if(count > 0){throw new GuliException(20001,"注册失败:手机号已经存在");}//注册信息添加到数据库UcenterMember member = new UcenterMember();member.setNickname(nickname);member.setMobile(mobile);member.setPassword(MD5.encrypt(password));member.setIsDisabled(false);//用户不禁用//头像member.setAvatar("http://thirdwx.qlogo.cn/mmopen/vi_32/DYAIOgq83eoj0hHXhgJNOTSOFsS4uZs8x1ConecaVOB8eIl115xmJZcT4oCicvia7wMEufibKtTLqiaJeanU2Lpg3w/132");baseMapper.insert(member);}}
结束!!!!!!!
不要相信漂亮的女人,尤其是不穿衣服的裸体女人。
ゝ一纸荒年。
柔情只为你懂
ゞ 浴缸里的玫瑰
朱雀
还没有评论,来说两句吧...