流程一:发送短信验证码
用户在提交手机号后,会校验手机号是否合法,如果不合法,则要求用户重新输入手机号
如果手机号合法,后台此时生成手机号对应的验证码(后台先得到验证码),同时将验证码保存到session中,然后再通过短信的方式(测试中输出到控制台即可)将验证码发送给用户。
流程二:基于短信验证码/密码实现登录、注册
用户将验证码和手机号进行输入,后台从session中拿到当前手机号对应的验证码,然后和用户输入的验证码进行校验,如果不一致,则无法通过校验,如果一致,则后台根据手机号查询用户,如果用户不存在,则为用户创建账号信息,保存到数据库(创建新用户),无论是否存在,都会将用户信息保存到session中,方便后续获得当前登录信息。
Sessiom是基于cookie的。每一个session都有一个sessionId保存在cookie当中。当用户来请求的时候会携带上自己的cookie。就可以基于cookie拿到session并且从session中拿到用户对象。
并且不需要返回登陆凭证token.因为当前登录基于session实现,每一个session对应一个唯一的sessionId,在访问tomcat时sessionId已经自动保存到了cookie中。之后每次请求都会携带cookie(具有sessionId),从而得到用户对象。
流程三:校验登录状态(任意请求发起时)
用户在发起任意请求的时候,会携带cookie(Cookie包含JsessionId)到后台,后台通过JsessionId从session中拿到用户信息,如果没有session信息,则进行拦截。如果有session信息,则需要将当前的用户信息保存到ThreadLocal中(当前的线程域对象),方便后续的业务使用,并且放行该请求。
ThreadLocal是一个线程域对象,会将数据(此时即保存当前登录的用户信息)保存到每一个线程的内部(在线程的内部创建一个map来保存)。这样每一个线程都会有自己独立的存储空间,不会相互干扰。如果只是创建一个普通的本地环境变量来保存当前用户,则会出现多线程并发修改的安全问题。在threadLocal中,无论是他的put方法和他的get方法, 都是先获得当前用户的线程,然后从线程中取出线程的成员变量map,只要线程不一样,map就不一样,所以可以通过这种方式来做到线程隔离。
