一、发送验证码

        业务流程是服务端向手机发送验证码，然后将手机号和验证码存到redis中。

二、登录注册

        然后根据手机号登录，先查询redis中有没有对应的手机号，如果有拿到对应的验证码和请求过来手机号对应的验证码一致，如果一致登录成功。然后再mysql用户表查询是否有已经注册的用户，如果有就直接登录，如果没有先注册然后再返回登录成功的信息。

三、权限验证

        登录成功会先向redis存储hash结构的用户登录信息，key是随机的token，value就是用户的信息。我们登录时候返回的的生成的token，然后前端把token设置到自己的请求头上某个字段，后续每次访问都会携带这个token。并且可以给这个key设置失效时间等，后续登录的过程验证就可以判断这个token是否失效就是根据redis的失效时间来控制的。

        登录校验的时候可以设置两个拦截器，第一个拦截器只用来拦截获取用户信息，可以用threadlocal存，刷新token，第二个拦截器用来判断存储的用户信息是否为空，如果为空就需要拦截，如果有值说明token存在验证成功，不需要拦截。

        为什么不用session，jwt，反而只用token呢？

        答：因为如果是jwt的话，它的特点是根据加密方法签发一个token，一旦签发就不能修改，缺陷是一旦下发，服务后台无法拒绝携带该jwt的请求，如果要实现退出等操作由于他的一致存在性，导致需要将该jwt的信息加入黑名单等操作。还有它不需要存储在后端里，一旦生成发送给前端，由前端进行控制，获取数据判断是否过期等，因为它的关键信息存储在jwt里，所以有可能信息不安全。第二是session，它存储在服务器上，对于分布式环境下，不同服务器的session是不同，这需要我们需要同步他们之间的存储的session，这个过程可能会有一致性问题，还会有延迟的问题。那其实可以用上redis解决这个，不过只是用session生成的jsessionid作为类似于token的随机id作为key，数据还是由redis存储，解决这个一致性问题。