乐趣区

关于java:从用户输入手机验证码开始

验证用户的有效性或者安全性,是每个零碎必备的安全措施,在挪动端优先的时代,利用手机验证码来验证用户,算是安全系数比拟高的伎俩。放眼当下简直所有的互联网利用简直都凋谢了手机验证码登录,而且利用内的敏感操作都须要手机验证码或者指纹,甚至面部辨认来确定以后操作人的权限。

抛开其余端,单就挪动端 App 形式而言,如果用户频繁进行敏感操作,须要频繁发送验证码,其实在用户体验上并不敌对,况且短信费用也随之减少。就 App 模式而言,验证一个用户的有效性其实能够演变为验证设施的有效性,即:以后人在以后设施上是否可信。

以下探讨只针对非 Web(浏览器)环境,Web 环境其实也能够依据浏览器的信息来生成一个相似设施标示的代码

很多零碎在设计之初,就曾经思考到平安主设施的概念,就像微信,如果在同一个手机上关上是不须要每次都进行登录操作的。进行设施验证是每个平安零碎比拟重要的局部,举荐在零碎设计之初就要思考。回归正题,对于很多行业来说,用户在 App 内频繁进行一些敏感操作是很失常的,比方我所在的在线教育行业,老师会很频繁的在一个班级内增加学生和老师(咱们认为这些操作属于敏感操作)。如果每次都须要老师发送验证码来进行操作,那交互上真的是太不敌对。要想保障业务操作的安全性以及改善交互操作,咱们就须要形象出问题的基本所在。

发送验证码操作最终的目标是为了验证操作人是操作人,听起来很绕是不是。实现这个最终目标,其实有很多解决方案,其中用户可信设施就属于其中一类, 而手机验证码形式又是用户可信设施实现的一种形式,具体来说有几点:

  1. 用户利用手机验证码在这个设施上进行过敏感操作,就认为这个设施在一段时间内是可信赖的。
  2. 用户在可信赖的设施上进行其余敏感操作,如果在有效期内,就能够做到不发送验证码
  3. 用户的敏感操作也能够进行分级,最高敏感级必须输出验证码才能够进行操作(比方重置明码,验证码登陆),个别敏感级在可信设施有效期内能够不输出验证码。

基于以上所说,零碎设计的时候就能够形象出一个用户可信设施核心,包含敏感操作的定义,可信设施的无效时长,可信设施的定义(比方:验证码通过的设施可定义为无效设施)等等概念。通过这样设计,短信验证只不过成为验证用户信赖设施的一种途经,齐全能够做到和具体业务无关(敏感级别最高操作除外),个别敏感的操作业务接口也能够防止增加验证码参数,真正的把验证和业务相拆散,岂不美哉?

通过这样形象,用户可信设施核心其实实质的接口只有几个:

  1. 验证设施是否无效
  2. 设置设施无效
  3. 设施无效的途经(例如短信验证码形式)

当然你的零碎首先要有设施的概念,如果非要写几行代码的话

  1. 验证设施无效
public async Task<int> CheckUserDevice(UserDeviceReq para)
        {if (para == null || string.IsNullOrWhiteSpace(para.DeviceName) || para.UserId <= 0)
            {return 0;}
            // 查看签名
            var sign = EncrypHelper.MD5Encrypt($"{SysConfig.SecretKey}_{para.UserId}_{para.DeviceName}");
            if (sign != para.Sign)
            {return 0;}
            string key = $"{para.UserId}_{para.DeviceName}";
            var authRet = await RedisClient.GetString(key);
            if (string.IsNullOrWhiteSpace(authRet))
            {
                // 通知客户端须要短信验证码
                return 414000;
            }
            return 1;
        }
  1. 设置设施无效
 public async Task<int> SetUserDevice(UserDeviceReq para)
        {if (para == null || string.IsNullOrWhiteSpace(para.DeviceName) || para.UserId <= 0)
            {return 0;}
            // 查看签名
            var sign = EncrypHelper.MD5Encrypt($"{SysConfig.SecretKey}_{para.UserId}_{para.DeviceName}");
            if (sign != para.Sign)
            {return 0;}
            string key = $"{para.UserId}_{para.DeviceName}";
            var cacheRet = await RedisClient.GetString(key);
            if (string.IsNullOrWhiteSpace(cacheRet))
            {UserDeviceInfo value = new UserDeviceInfo() {UserId = para.UserId, DeviceName = para.DeviceName, OperationCode = para.OperationCode, CreateDate = DateTime.Now, Context = ""};
                var userDeviceExp = SysConfig.GetAppSetting("Config:UserDeviceExpire");
                if (string.IsNullOrWhiteSpace(userDeviceExp))
                {userDeviceExp = "300";}
                var authRet = await RedisClient.SetString(key, JsonConvert.SerializeObject(value), TimeSpan.FromMinutes(int.Parse(userDeviceExp)));
                if (!authRet)
                {return 0;}
            }
            return 1;
        }

更多精彩文章

  • 分布式大并发系列
  • 架构设计系列
  • 趣学算法和数据结构系列
  • 设计模式系列

退出移动版