一、手机短信验证码登录过程

1、构造手机验证码,需要生成一个6位的随机数字串;

2、找短信平台获取使用接口向短信平台发送手机号和验证码,然后短信平台再把验证码发送到制定手机号上

3、将手机号验证码、操作时间存入Session中,作为后面验证使用;

4、接收用户填写的验证码、手机号及其他注册数据;

5、对比提交的验证码与Session中的验证码是否一致,同时判断提交动作是否在有效期内;

6、验证码正确且在有效期内,请求通过,处理相应的业务。

二、手机短信验证码登录过程

1、使用Session(session的配置及注入)

2、Redis存储Session(在session前注册分布式缓存IDistributedCache后,session会自动写入缓存里 )

3、解决数据保护,统一不同机器之间的MachineKey

Data Protection(数据安全)机制:为了确保Web应用敏感数据的安全存储,该机制提供了一个简单、基于非对称加密改进的、性能良好的、开箱即用的加密API用于数据保护。

它不需要开发人员自行生成密钥,它会根据当前应用的运行环境,生成该应用独有的一个私钥。这在单一部署的情况下没有问题。

一旦在集群环境下进行水平扩展,那么每个独立的应用都有一个独立的私钥。这样在负载均衡时,一个请求先在A容器建立的Session会话,该机制会通过当前容器的密钥加密Cookie写入到客户端,下个请求路由到B容器,携带的Cookie在B容器是无法通过B容器的密钥进行解密。

进而会导致会话信息丢失的问题。所以在集群情况下,为了确保加密数据的互通,应用必须共享私钥。

 

参照:.NET Core实战项目之CMS 第十六章 用户登录及验证码功能实现 - 走看看 (zoukankan.com)

.Net Core Web Api实践(二).net core+Redis+IIS+nginx实现Session共享 (qq.com)