请问后端生成验证码后是怎么处理的?要把验证码加入数据库然后前端请求对比吗?这似乎不可取,最好讲讲完整的逻辑,例如session过期时间啥的,还有如何去对比前后端是否正确的?
邮箱或短信验证码的思路,可以借鉴登录验证的主要逻辑,但是有两个需要替换的地方,将密码换成前端发过来的验证码,将数据库比对换成session比对。
首先,前端发起验证码请求,要做节流,每隔多少秒才能发送一次;
然后,后端响应,发送验证码到邮箱或手机,这时候就将验证码(可以选择储存不可逆加密结果)存到session里,并设置过期时间;
接下来,前端发来验证码,可以选择用cookie做验证但是要加签名,后端接收发过来的验证码,与session中的核对,如果session中的验证码是加密的,对前端发过来的明码也同样加密一次,比对结果;根据比对结果反馈给前端发对应的数据,或给予跳转至对应页面的权限,这个过程其实也是鉴权同理过程;
为了加强安全性,还需要注意防止通过网址直接登录,所以要做好对应的路由设置,包括导航守卫。
以上思路只是大致的流程,还需要完善细节,更新具体方法,但愿能帮上你。
用缓存处理啊,redis很好用,你前端发送短信请求接口,然后后端接口生成随机验证码然后发送到用户手机,并把这个验证码保存到redis缓存,键值对设置为用户手机号和验证码,设置缓存时间例如十分钟后过期。然后用户获取验证码之后,在表单填写后,比如调用注册接口,然后注册接口中会获得用户填写的手机号和验证码,然后去redis比较是否存在,只要十分钟内且键值对正确,就允许他注册成功。
另外我的近期博客介绍了如何发送短信验证码和邮箱验证码,可以了解一下。