注冊流程
1.[前端] 用戶在注冊頁面提交注冊信息;
2.[后端] 校驗用戶提交的參數(shù),有誤直接返回錯誤信息,無誤向下執(zhí)行;
3.[后端] 隨機(jī)生成一個ID,將ID作為key,用戶信息作為value,存入redis,設(shè)置時長;
4.[后端] 生成激活鏈接,通過郵件系統(tǒng)發(fā)送郵件到用戶郵箱
5.[前端] 用戶點(diǎn)擊上圖的“確認(rèn)注冊”;
6.[后端] 校驗value是否過期,校驗郵箱是否已經(jīng)注冊,沒有則保存用戶信息到數(shù)據(jù)庫,提示用戶已經(jīng)注冊成功;
功能實(shí)現(xiàn)(逆向分析)
1、先看看郵件發(fā)送的實(shí)現(xiàn) cn.ictgu.tools.mail.MailService
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
|
package cn.ictgu.tools.mail;import cn.ictgu.dao.model.User;import com.alibaba.fastjson.JSONObject;import lombok.extern.log4j.Log4j;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.beans.factory.annotation.Value;import org.springframework.mail.javamail.JavaMailSender;import org.springframework.mail.javamail.MimeMessageHelper;import org.springframework.stereotype.Service;import javax.mail.MessagingException;import javax.mail.internet.MimeMessage;/** * 郵件服務(wù) * Created by Silence on 2017/3/11. */@Service@Log4jpublic class MailService { @Autowired private JavaMailSender mailSender; @Value("${spring.mail.username}") private String from; private static final String TITLE_SIGN_UP = "[郵件標(biāo)題]"; private static final String CONTENT = "[郵件內(nèi)容]"; public void userValidate(User user, String token){ MimeMessage mailMessage = mailSender.createMimeMessage(); try { MimeMessageHelper helper = new MimeMessageHelper(mailMessage, true, "GBK"); helper.setFrom(from); helper.setTo(user.getEmail()); helper.setSubject(TITLE_SIGN_UP); String link = "http://www.ictgu.cn/validate/" + token; String message = String.format(CONTENT, user.getNickname(), link, link, user.getEmail()); helper.setText(message, true); mailSender.send(mailMessage); } catch (MessagingException e) { log.error("發(fā)送郵件失敗:User:" + JSONObject.toJSONString(user) + ", Token: " + token); } } |
說明:發(fā)送郵件需要傳入2個參數(shù) user 和 token,user即為用戶注冊信息,token是一個隨機(jī)的UUID,redis中有與之對應(yīng)的key,其value是user的json字符串。(key的規(guī)則是配置文件redis.prefix.signUp + UUID)
郵件模板問題:
郵件內(nèi)容的本質(zhì)是一段字符串,樣式由html+css控制,開發(fā)時,在郵箱設(shè)計好模板,變量用%s代替,然后將整段字符串存放在一個合適的地方,發(fā)送郵件時,使用String.format()方法將%s替換為實(shí)際值,就生成了最終用戶看到郵件。所以沒有必要使用第三方模板,添加jar包會增加系統(tǒng)的復(fù)雜度,同樣的功能,能簡化的盡量簡化。
2、如何生成Token呢? 請看 cn.ictgu.redis.RedisTokenManager
|
1
2
3
4
5
6
7
|
public String getTokenOfSignUp(User user){String token = UUID.randomUUID().toString();String value = JSONObject.toJSONString(user);stringRedisTemplate.opsForValue().set(signUpPrefix + token, value);stringRedisTemplate.expire(signUpPrefix + token, 12, TimeUnit.HOURS);return token;} |
說明:UUID.randomUUID().toString()是javaJDK提供的一個自動生成主鍵的方法。UUID(Universally Unique Identifier)全局唯一標(biāo)識符,是指在一臺機(jī)器上生成的數(shù)字,它保證對在同一時空中的所有機(jī)器都是唯一的,是由一個十六位的數(shù)字組成,表現(xiàn)出來的形式。由以下幾部分的組合:當(dāng)前日期和時間(UUID的第一個部分與時間有關(guān),如果你在生成一個UUID之后,過幾秒又生成一個UUID,則第一個部分不同,其余相同),時鐘序列,全局唯一的IEEE機(jī)器識別號(如果有網(wǎng)卡,從網(wǎng)卡獲得,沒有網(wǎng)卡以其他方式獲得),UUID的唯一缺陷在于生成的結(jié)果串會比較長。
3、token有了,就需要在service層關(guān)聯(lián)user和token發(fā)送郵件啦,看看 cn.ictgu.dao.service.UserService
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
public boolean signUp(User user){String email = user.getEmail();if (existEmail(email)){ log.error("用戶注冊,郵箱已注冊:" + email); return false;}sendValidateEmail(user);return true;}@Asyncprivate void sendValidateEmail(User user){String token = tokenManager.getTokenOfSignUp(user);log.error("用戶注冊,準(zhǔn)備發(fā)送郵件:User:" + JSONObject.toJSONString(user) + ", Token: " + token);mailService.userValidate(user, token);}private boolean existEmail(String email){return mapper.selectByEmail(email) != null;} |
說明:發(fā)送郵件耗時較長,使用異步來做,提高用戶體驗
4、user就簡單了
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
|
@RestControllerpublic class UserApi { @Autowired private UserService userService; @RequestMapping(value = "/sign-up", method = RequestMethod.POST) public SimpleResponse signUp(HttpServletRequest request){ User user = createUser(request); SimpleResponse response = checkSignUpRequest(user); if (response.getCode() == 100){ if (!userService.signUp(user)){ response.setCode(200); response.setMessage("此郵箱已注冊,請勿重復(fù)注冊!"); return response; }else { response.setMessage("注冊激活郵件已發(fā)送至您郵箱,請在12小時內(nèi)激活完成注冊!"); return response; } } return response; } private SimpleResponse checkSignUpRequest(User user){ SimpleResponse response = new SimpleResponse(); String email = user.getEmail(); if (!CheckUtils.checkEmail(email)){ response.setCode(200); response.setMessage("郵箱格式不合法"); return response; } String password = user.getPassword(); if (!CheckUtils.checkPassword(password)){ response.setCode(200); response.setMessage("密碼長度必須為8-16位,且必須包含數(shù)字和字母"); return response; } String nickname = user.getNickname(); if (!CheckUtils.checkNickname(nickname)){ response.setCode(200); response.setMessage("昵稱長度不合法"); return response; } response.setCode(100); return response; }} |
說明:這一層主要做了用戶注冊參數(shù)的校驗
效果圖
回顧
從下往上看,從用戶注冊到郵件發(fā)送就實(shí)現(xiàn)了,大部分代碼都是做的參數(shù)校驗,因為用戶行為是不可信的,要構(gòu)建安全的后臺系統(tǒng),就要無死角的校驗校驗。。。。
Github地址: https://github.com/ChinaSilence/any-video
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持服務(wù)器之家。
原文鏈接:http://www.jianshu.com/p/927e179a747a
