一個很正常的目錄
- 前情回顧
- 資料傳輸物件(DTO)
- 創建登錄和注冊功能的DTO
- UserLoginDTO
- UserRegisterDTO
- 修改UserController
- 修改UserService
- 用戶初始權限的設定
- 初始權限的設定
- 添加初始權限和查詢用戶角色
- 授予初始權限
- 啟用事物管理
- 改進用戶登錄模塊
- 保護用戶的隱私資訊!
前情回顧
在前一篇博客我們成功的撰寫了登錄與注冊的介面,但是還存在著一些問題,這篇博客我們將會更深入的對登錄與注冊的進行講解,
資料傳輸物件(DTO)
我們在登錄或者注冊時,其實只用到了User物件的某些屬性,在訪問別的用戶時也不該把別的用戶的密碼等欄位給查詢出來,這時候如果我們全都使用User物件則會產生部分冗余的欄位,這些冗余的部分就如我們前面說過的一樣會降低資料傳輸的效率,所以我們首先從這里入手,創建出不同情形下所需要用到的DTO,
創建登錄和注冊功能的DTO
UserLoginDTO
用戶登錄時我們只需要用戶輸入用戶名和密碼,所以UserLoginDTO中僅有兩個欄位:
@Data
@AllArgsConstructor
@NoArgsConstructor
public class UserLoginDTO {
@NotNull(message = "賬號不允許為空")
private String username;
@NotNull(message = "密碼不允許為空")
private String password;
}
而注冊時我們只希望用戶去填寫用戶名、密碼、昵稱即可完成注冊:
UserRegisterDTO
@Data
@AllArgsConstructor
@NoArgsConstructor
public class UserRegisterDTO {
@NotNull(message = "用戶名不允許為空")
private String username;
@NotNull(message = "密碼不允許為空")
private String password;
@NotNull(message = "昵稱不允許為空")
private String nickname;
}
完成了兩個欄位的撰寫之后我們就要去Controller層以及Service層對我們的代碼進行修改,將原本接受的User物件轉為相應的DTO物件
修改UserController
@PostMapping("/register")
public CommonResult<String> register(@RequestBody UserRegisterDTO urDTO) {
userService.userRegister(urDTO);
return new CommonResult<>(20000, "OK", "注冊成功");
}
@PostMapping("/login")
public CommonResult<String> login(@RequestBody UserLoginDTO ulDTO) {
String res = userService.userLogin(ulDTO);
return new CommonResult<>(20000, "OK", res);
}
修改UserService
public void userRegister(UserRegisterDTO urDTO) {
User user = new User();
BeanUtils.copyProperties(urDTO,user);
try {
user.setId(idWorker.nextId() + "");
user.setEnable(1);
user.setAddtime(DateTimeTransferUtil.getNowTimeStamp());
userDao.userRegister(user);
} catch (Exception e) {
throw new DuplicateKeyException("用戶名重復");
}
}
public String userLogin(UserLoginDTO ulDTO) {
User trueUser = userDao.userLogin(ulDTO.getUsername());
if (trueUser.getPassword().equals(ulDTO.getPassword())){
return "登陸成功";
}
throw new InternalAuthenticationServiceException("用戶名或密碼有誤");
}
在userRegister方法中我們使用了BeanUtils.copyProperties方法,這是Spring為我們為我們提供的一個方法,可以幫助我們快速的從一個DTO中讀取值注入到一個pojo中,反之亦可,關于該方法可以上網查詢相關資料,
那么我們就已經完成了從接收pojo到接收DTO的轉換,但是問題僅此而已嗎?讓我們走進本篇博客的下一個部分–設定用戶權限
用戶初始權限的設定
在我們之前的博客中我們講述了本次專案的權限驗證主要是通過token實作的,但是我們上次撰寫的代碼中沒有在注冊時給用戶提供初始的權限,也沒有在用戶完成登錄時生成一個token回傳給前端,這些內容我們將在本節慢慢講述,
初始權限的設定
我們需要在用戶成功注冊之后完成用戶初始權限的賦予,所以讓我們在UserDao中添加相應的方法完成這個功能,
添加初始權限和查詢用戶角色
/**
* 用戶注冊時分配用戶角色
*
* @param uid 用戶id
*/
@Insert("INSERT INTO tb_role(uid,rolename) VALUES(#{uid},default)")
void allocateUserRole(@Param("uid") String uid);
/**
* 通過用戶id查詢用戶角色
*
* @param id 用戶id
* @return 用戶角色
*/
@Select("SELECT rolename FROM tb_role WHERE uid = #{id}")
String getUserRole(@Param("id") String id);
在這里我們使用default是因為我們在資料庫的tb_role表中設定了默認的角色名是MEMBER
授予初始權限
我們在為UserDao添加了相關方法后把目光投回UserService中:
public void userRegister(UserRegisterDTO urDTO) {
User user = new User();
BeanUtils.copyProperties(urDTO,user);
try {
user.setId(idWorker.nextId() + "");
user.setEnable(1);
user.setAddtime(DateTimeTransferUtil.getNowTimeStamp());
userDao.userRegister(user);
userDao.allocateUserRole(user.getId());
} catch (Exception e) {
throw new DuplicateKeyException("用戶名重復");
}
}
在用戶注冊之后執行添加用戶角色的allocateUserRole()方法,這樣就完成了注冊時的初始權限賦予,讓我們先執行程式使用PostMan進行測驗 [先將資料庫中同名的資料洗掉!]:
提示我們注冊成功,前往資料庫查看tb_user表和tb_role表,可以看到用戶的已經成功注冊了并且也分配好了默認的MEMBER角色,但這樣真的完成了嗎?我們回到UserService里的userRegister方法添加如下代碼
//請先將try catch的有關代碼注釋
userDao.userRegister(user);
//在兩行代碼中插入下面這一行代碼
int i = 1 / 0;
userDao.allocateUserRole(user.getId());
很明顯現在會出現錯誤,讓我們運行程式并重新訪問注冊介面
這時候我們打開資料庫,發現資料庫中用戶名為test1的用戶已經注冊成功了,但是因為出現了錯誤我們沒能為它分配一個角色!
啟用事物管理
這種情況很顯然是我們不想出現的,我們希望它要么一起成功,要么一起失敗,而不像現在這樣成功一半失敗一半,這時候我們需要在UserService這個類上添加@Transactional(rollbackForClassName = "Exception.class") 這個來自Spring框架注解可以讓我們啟用事物功能并在出現指定型別的錯誤時發生回滾(在這里我們指定任意的例外時都進行回滾),重啟專案,洗掉剛剛注冊的test1,并用同樣的資料進行注冊,這時候我們就會發現雖然出錯了,但是我們兩個步驟都沒有生效,就完成了要么一起成功,要么一起失敗的實作,【測驗完成后記得把被注釋的TryCatch代碼取消注釋】
到這里我們就完成了用戶初始權限的設定,接下來我們就要改進用戶登錄的模塊了
改進用戶登錄模塊
我們前面說到用戶成功登錄之后應該使用用戶的id和權限名生成一個Token回傳給前端,那么我們就來完成這個功能,首先我們要先前往UserDao將userLogin方法進行如下修改:
/**
* 通過登錄的賬號查詢是否存在該用戶
*
* @param loginName 登錄名,可能是username也可能是email
* @return 回傳用戶密碼
*/
@Select("SELECT id,password FROM tb_user WHERE username = #{loginName}")
User userLogin(@Param("loginName") String loginName);
然后將UserService修改如下:
public String userLogin(UserLoginDTO ulDTO) {
User trueUser = userDao.userLogin(ulDTO.getUsername());
if (trueUser.getPassword().equals(ulDTO.getPassword())){
return jwtUtil.createJWT(trueUser.getId(),userDao.getUserRole(trueUser.getId()));
}
throw new InternalAuthenticationServiceException("用戶名或密碼有誤");
}
我們按照要求回傳了使用用戶id和用戶角色創建的token,那么我們就在Controller的統一請求回傳體里攜帶上這個Token,
@PostMapping("/login")
public CommonResult<String> login(@RequestBody UserLoginDTO ulDTO) {
String token = userService.userLogin(ulDTO);
return new CommonResult<>(20000, "OK", toekn);
}
那么我們向前端回傳token的任務也已經完成,我們改進用戶登錄模塊的作業也告一段落,讓我們回看整個注冊和登錄的功能,目前已經是比較完善的了,但是仍然存在著一些問題,接下來就讓我們進一步的改進注冊流程,
保護用戶的隱私資訊!
隨著互聯網的大發展,每隔一段時間就會出現一些用戶密碼泄露的新聞,不管是外部的攻擊或者是內部作業人員的泄露,我們都應該對此提高警惕,無論是業務邏輯的撰寫的程序亦或者是用戶資訊的存盤程序我們都要提高警惕,目前專案中用戶的密碼都是明文存盤的,我們應該使用某種加密方法對用戶的密碼進行加密,這樣即使儲存于資料庫中的用戶密碼不幸泄露也無法被破解,
那么我們應該怎么進行加密呢?我們可以采用SpringSecurity框架中自帶的BCryptPasswordEncoder類對隱私資訊進行加密!
關于加密所涉及的演算法筆者又不在此贅述,如果比較感興趣可以訪問SpringSecurity的官方檔案進行學習與研究
具體的使用方法如下,首先在主啟動類中注冊這個類:
@Bean
public BCryptPasswordEncoder bCryptPasswordEncoder(){
return new BCryptPasswordEncoder();
}
然后在UserService中進行如下修改:
首先通過構造方法注入這個加密類
private final UserDao userDao;
private final IdWorker idWorker;
private final JwtUtil jwtUtil;
private final BCryptPasswordEncoder bCryptPasswordEncoder;
public UserService(UserDao userDao, IdWorker idWorker, JwtUtil jwtUtil, BCryptPasswordEncoder bCryptPasswordEncoder) {
this.userDao = userDao;
this.idWorker = idWorker;
this.jwtUtil = jwtUtil;
this.bCryptPasswordEncoder = bCryptPasswordEncoder;
}
然后在用戶注冊時對用戶的密碼進行加密
public void userRegister(UserRegisterDTO urDTO) {
User user = new User();
BeanUtils.copyProperties(urDTO,user);
try {
user.setId(idWorker.nextId() + "");
user.setEnable(1);
user.setAddtime(DateTimeTransferUtil.getNowTimeStamp());
//進行加密
user.setPassword(bCryptPasswordEncoder.encode(user.getPassword()));
userDao.userRegister(user);
userDao.allocateUserRole(user.getId());
} catch (Exception e) {
throw new DuplicateKeyException("用戶名重復");
}
}
在用戶登錄時我們要判斷用戶的密碼是否與資料庫中存盤的密碼相同,既然注冊時存盤的密碼已經被加密了,那我們怎么去判斷呢?其實框架的作者也已經想到了這一點,他為我們提供了matches()方法進行判斷,如果相同則為true,不同則為false,那我們就對用戶登錄模塊進行修改:
public String userLogin(UserLoginDTO ulDTO) {
User trueUser = userDao.userLogin(ulDTO.getUsername());
//前面放的是用戶輸入的密碼,后面是加密過的密碼
if (bCryptPasswordEncoder.matches(ulDTO.getPassword(), trueUser.getPassword())) {
return jwtUtil.createJWT(trueUser.getId(), userDao.getUserRole(trueUser.getId()));
}
throw new InternalAuthenticationServiceException("用戶名或密碼有誤");
}
那么到這里我們對用戶隱私資訊的加密也已經完成了,啟動專案,讓我們來通過postman對兩個功能進行測驗吧~
首先對注冊介面進行測驗(測驗前記得洗掉之前的測驗賬號!),發現注冊成功,來到資料庫,我們可以看到用戶的密碼已經被加密過了!
接下來再讓我們測驗一下登錄介面:
同樣發現登陸成功,并且且成功的拿到了生成的token令牌!有了token令牌前端每次請求時我們就能直接拿到用戶的id和權限,對我們后續的業務代碼撰寫提供了強有力的支撐,
到這里本篇博客的內容也基本告一段落,經過這篇博客,我們的登錄注冊介面已經比較完善了,但是真的就一點問題都沒有了嗎?請讀者自行思考,筆者將在下一篇博客揭曉答案,
本次博客的內容也到此為止了,如果對博客內容有疑問可以私信聯系筆者,如果這篇文章對你有用希望你能點一個贊,謝謝~
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/124996.html
標籤:其他
上一篇:如何讓tornado根據request.body中的內容來決定轉發到不同的視圖、并將request.body傳遞過去?