用户名+密码+验证码的登录全流程,核心是"前端校验→后端验证→安全确认→会话创建",既保障安全性又兼顾用户体验,具体步骤如下:
一、前置准备(系统预设)
- 定义用户标识:用户名可为手机号、邮箱或自定义账号,确保系统内唯一。
- 密码规则:设置长度≥8位、含大小写字母+数字+特殊字符的复杂度要求,存储时用BCrypt算法加密并添加随机盐值。
- 验证码规则:默认6位数字,有效期10分钟,60秒内可重发,单日发送次数限制(如5次)。
二、核心登录流程(7步闭环)
1. 用户发起登录请求
用户访问登录页面,输入用户名、密码,点击"获取验证码"按钮。
2. 前端前置校验
- 校验输入格式:用户名是否符合规则(如手机号11位)、密码长度是否达标。
- 防止无效请求:格式错误时即时提示(如"请输入正确手机号"),不向后端发送请求。
- 控制发送频率:点击"获取验证码"后,按钮置灰60秒倒计时,避免重复发送。
3. 验证码生成与发送
- 前端将手机号/用户名发送至后端,后端生成随机验证码和唯一UUID。
- 后端通过Redis存储验证码(以"verification:sms:login:手机号"为键),并调用短信/邮箱服务商接口发送验证码。
- 后端返回UUID给前端,前端存入sessionStorage(会话结束自动清除,更安全)。
4. 后端账号与密码验证
用户输入验证码后提交登录表单,前端将用户名、加密后的密码、验证码、UUID一并发送至后端。
- 后端先校验账号状态:查询数据库确认用户名是否存在,是否被冻结/禁用。
- 密码校验:用存储的盐值对提交密码重新哈希,与数据库中的加密密码比对,一致则进入下一步,不一致返回"密码错误"并记录次数。
5. 验证码有效性校验
- 后端以用户名为键从Redis取出验证码和UUID,与前端提交的信息比对。
- 校验通过:立即删除Redis中的验证码(防止重复使用);校验失败:提示"验证码错误/已过期",失败次数达5次则临时锁定30分钟。
6. 会话创建与权限加载
- 验证通过后,后端生成JWT Token(含用户ID、角色、30分钟过期时间),返回给前端存入cookie或localStorage。
- 前端携带Token请求权限列表,后端查询用户关联的角色与操作权限(如"查看数据""修改信息")并返回。
7. 登录成功跳转
前端根据权限列表展示对应菜单和按钮,自动跳转至系统首页,完成登录。
三、异常场景处理
- 密码错误:连续3次错误锁定账号,需通过手机号验证码或管理员解锁。
- 验证码问题:超时或错误时,允许用户重新发送,明确提示剩余次数。
- 账号异常:冻结/禁用状态下,前端提示"账号已锁定,请联系管理员"。
- 会话失效:Token过期后自动跳转登录页,提示"登录已失效,请重新登录"。
四、关键安全与体验优化
- 传输安全:所有数据通过HTTPS加密传输,防止中间人攻击。
- 体验细节:提供"显示密码"按钮、清晰的错误提示(避免"登录失败"模糊表述)。
- 防护机制:限制单IP/账号登录频率,防止暴力破解;记录登录日志,便于追溯异常操作。