用户登录的详细流程

 

**

## 用户登录的详细流程

**

**

## 1.流程概述

**

（1）首先在进行用户登录的时候，要进行一些必要的准备工作。

比如说要对用户登录表进行设计。

一般是userId,userName,phone,password,salt,remark等等。

通常数据库存储的密码是md5进行加密的密文，但也不能直接对登录密码进行md5加密，然后存在数据库中。这样的密文用浏览器上的解密工具很容易就被破解了。一般是用加密盐salt和用户的密码一起加密，而这个salt本质上是随机数。

同样也需要设置加密规则，是怎么加密，是密码+salt一起加密，还是其他的加密方法。

加密方法1（hutool工具包里面的util中secureUtil类中方法）

```java

String md5Password = SecureUtil.md5(data);//data就是进行加密的数据

```

加密方法2（使用Spingframework自带的DigestUtils）

```java

String pwd= DigestUtils.md5DigestAsHex(user.password.getBytes())//user.password 就是对应的需要加密的密码

```

加密方法3（使用commons-code中digest包中的DigestUtils类的方法）

```java

String pwd= DigestUtils.md5Hex(data)//data是需要加密的密码

```

可以选择以上三个代码结合加密规则进行密码的md5加密。

然后把已经多次加密的密码存入数据库中。

（2）用户输入密码登录

可以直接把密码明文传入后台，然后按照加密的规则进行加密，然后和数据库的密码进行比较。

也可以让前端按照加密规则对明文直接加密好，后台直接把接收的数据和数据库进行对比。

（3）通过token令牌进行验证

如果对比密码是正确的，后台返回token（使用jwtUtil进行设置，token里面包含用户主键比如userid或者其他的）

然后前端把token存储起来，每次向前端请求数据必须带着token，然后后端根据带来的token进行对比和时效校验，如果正确在把数据返回。

**

## 2.总结

**

token的设置各种各样，而且后端的token校验也比较复杂，同时因为登录的用户权限不一致，还需要使用拦截器对请求进行拦截，进一步保证数据安全。关于这三块，等我具体了解清楚在进行记录。