Spring MVC系列(二):忘记密码功能实现

最近为认证系统添加了忘记密码功能，使用了Spring提供的邮件API和Ehchace缓存验证码。整个过程还是挺有趣，值得写一下。

Spring邮件API

Sprin提供了一个强大方便的邮件API,简化了发送邮件的工作。可以发送富文本邮件，添加附件，使用模板渲染邮件内容。推荐看Spring实战(第三版)，这里只简单讲一下如何发送富文本邮件，其他的就不细讲了。

配置邮件发送器

Spring邮件API的核心是MailSender接口，Spring自带JavaMailSenderImpl实现了MailSender接口，所以需要将JavaMailSenderImpl装配到Bean中。

Mail.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans.xsd
        http://www.springframework.org/schema/context
        http://www.springframework.org/schema/context/spring-context.xsd">

    <!--读取外部属性文件-->
    <bean id="propertyConfigurer" class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer">
        <property name="locations">
            <list>
                <value>classpath:Mail.properties</value>
            </list>
        </property>
    </bean>
    <!--配置了mailSender-->
    <bean id="mailSender" class="org.springframework.mail.javamail.JavaMailSenderImpl">
        <property name="host" value="${mail.host}" />
        <property name="port" value="${mail.port}"></property>
        <property name="username" value="${mail.username}" />
        <property name="password" value="${mail.password}" />
        <property name="defaultEncoding" value="UTF-8"></property>
        <property name="javaMailProperties">
            <props>
                <prop key="mail.smtp.auth">${mail.smtp.auth}</prop>
                <prop key="mail.smtp.timeout">${mail.smtp.timeout}</prop>
            </props>
        </property>
    </bean>

</beans>

Mail.properties

使用QQ的邮件服务器，需要在QQ邮箱设置中开启STMP服务

mail.from=dai.dongliang@foxmail.com
mail.host=smtp.qq.com
mail.port=25
mail.username=675742730  
mail.password=*********
mail.smtp.auth=true  
mail.smtp.timeout=25000

Main.Java

这只是简单的构造了一个带有链接的邮件，其他更复杂的用法就不介绍了。

public class Main {

    public static void main(String[] args) {
        ApplicationContext context = new ClassPathXmlApplicationContext( "Mail.xml");
        JavaMailSenderImpl sender = (JavaMailSenderImpl)context.getBean("mailSender");
        //构建邮件
        MimeMessage message=sender.createMimeMessage();
        try {
            //使用MimeMessageHelper构建Mime类型邮件
            MimeMessageHelper helper= new MimeMessageHelper(message,true);
            helper.setFrom("dai.dongliang@foxmail.com");
            helper.setTo("xxxxxxx@foxmail.com");
            message.setSubject("Spring Mail Test");
            //第二个参数true表明信息类型是multipart类型
            helper.setText("<a href=\"http://www.magicalwolf.com\">你好</a>",true);
            sender.send(message);
        } catch (MessagingException e) {
            throw new RuntimeException("邮件构造失败");
        }
    }
}

至此一封邮件就发送出去了，可以坐等收件人查看了。

Ehcache缓存

Spring中内置了对Ehcache的支持，封装了EhCacheCacheManager，可以很方便的使用Ehcache。

配置CacheManager

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"
    xmlns:context="http://www.springframework.org/schema/context"
    xmlns:cache="http://www.springframework.org/schema/cache"
    xsi:schemaLocation="
        http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans.xsd
        http://www.springframework.org/schema/context
        http://www.springframework.org/schema/context/spring-context.xsd">
    
    <!--配置cacheManager-->    
    <bean id="cacheManager" class="org.springframework.cache.ehcache.EhCacheCacheManager"
        p:cache-manager-ref="ehcache" />

    <!-- EhCache library setup -->
    <bean id="ehcache"
        class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean"
        p:config-location="classpath:ehcache.xml" />
</beans>

ehcache.xml

Ehcache的配置文件，这里配置一个名为CodeCache的chahe用于保存验证码。

<?xml version="1.0" encoding="UTF-8"?>
<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:noNamespaceSchemaLocation="ehcache.xsd">
    <diskStore path="java.io.tmpdir" />
    <!-- 配置自定义缓存 
        name：Cache的名称，必须是唯一的(ehcache会把这个cache放到HashMap里)。 
        maxElementsInMemory：内存中保持的对象数量。 
        maxElementsOnDisk：DiskStore中保持的对象数量，默认值为0，表示不限制。 
        eternal：是否是永恒数据，如果是，则它的超时设置会被忽略。 
        overflowToDisk：如果内存中数据数量超过maxElementsInMemory限制，是否要缓存到磁盘上。 
        timeToIdleSeconds：对象空闲时间，指对象在多长时间没有被访问就会失效。只对eternal为false的有效。默认值0，表示一直可以访问。 
        timeToLiveSeconds：对象存活时间，指对象从创建到失效所需要的时间。只对eternal为false的有效。默认值0，表示一直可以访问。 
        diskPersistent：是否在磁盘上持久化。指重启jvm后，数据是否有效。默认为false。 
        diskExpiryThreadIntervalSeconds：对象检测线程运行时间间隔。标识对象状态的线程多长时间运行一次。 
        diskSpoolBufferSizeMB：DiskStore使用的磁盘大小，默认值30MB。每个cache使用各自的DiskStore。 
        memoryStoreEvictionPolicy：如果内存中数据超过内存限制，向磁盘缓存时的策略。默认值LRU，可选FIFO、LFU。 
        -->

      <cache name="CodeCache" 
       maxElementsInMemory="10000"
       eternal="false" 
       overflowToDisk="false" 
       timeToIdleSeconds="300"
       timeToLiveSeconds="300" 
       memoryStoreEvictionPolicy="LFU" />

</ehcache>

Main.java

Ehcache的基本用法。

public class Main {

    public static void main(String[] args) {
        ApplicationContext context = new ClassPathXmlApplicationContext( "auth-cache.xml");
        //得到缓存管理器
        EhCacheCacheManager cacheManager = (EhCacheCacheManager)context.getBean("cacheManager");
        //得到Cache
        Cache cache = cacheManager.getCache("CodeCache");
        //存入缓存，这里是验证码对应用户名
        cache.put("123","magicwolf");
        //取出缓存
        System.out.println(cache.get("123",String.class));
        //删除缓存
        cache.evict("123");
    }
}

忘记密码功能

上面已经把关键点介绍了，剩余的就是如何组织代码，设计密码找回流程。代码很简单就不贴出了。

第一步:显示忘记密码页面

一个简单的表单页面，输入用户名和一个60秒刷新一次的验证码。

需要验证用户名是否存在，邮箱是否已填写。
60秒刷新的验证码防止恶意重置密码。
60秒刷新的验证码实现方式有很多，可以把时间信息存在session或cookie或Ehcache中。

第二步:发送邮件，缓存重置密码令牌。

生成一个5分钟内有效的令牌，将令牌和用户id映射保存在Ehcache中。
用令牌值组成重置邮件链接。
从数据库取出邮件地址并发送邮件。

第三步:重置密码

用户点击链接进入重置密码界面。
验证令牌值，并得到用户Id,定位到具体用户。
用户修改密码。

总结

忘记密码功能实现起来比较简单，但是如何设计一个严密的密码找回功能很麻烦。现在这个流程就很薄弱，容易受到攻击。等后面有时间了再来仔细研究一下，添加一些验证条件，比如密保问题，手机号验证这些。邮箱密码配置文件是保存在服务器上，明文保存会有风险，建议加密保存，在通过Spring的PropertyPlaceholderConfigurer读取加密配置。

最后编辑于：2017.12.03 03:21:45

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 203,324评论 5赞 476
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 85,303评论 2赞 381
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 150,192评论 0赞 337
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 54,555评论 1赞 273
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 63,569评论 5赞 365
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 48,566评论 1赞 281
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 37,927评论 3赞 395
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 36,583评论 0赞 257
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 40,827评论 1赞 297
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 35,590评论 2赞 320
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 37,669评论 1赞 329
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 33,365评论 4赞 318
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 38,941评论 3赞 307
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 29,928评论 0赞 19
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 31,159评论 1赞 259
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 42,880评论 2赞 349
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 42,399评论 2赞 342