加了个admin页面，只写了几个基本功能。

觉得使用token验证用户是多此一举，因为当时想的是把自己写着玩的网关也加上，验证token直接放在网关就行了，网站应用里尽量少做业务无关的。

但是连个用户登录的功能还都没有，正好想起来曾经做过额谷歌验证码的功能。

一个独立不需要联网的《身份验证器》app，输入管理员给的密钥，基于密钥和时间每30s变化一个，得到一个新的6位数验证码，在关键操作上加入这个验证码放header里面，和服务端的这个用户的密钥生成的6位验证码比较。虽然30s变一次挺麻烦的，但好在后台管理功能使用频率都不高，甚至几个月一两年都不用一次。

找当时抄的那个开源的java服务端代码找了一会，最后找到了，当时还纠结过如果基于时间的话，服务器在国外的要怎么处理，还有发现过一个生成的密钥偶尔在app上提示无效的问题，后来搜了很长时间最后把密钥长度强制设为40位就好了。

于是直接用这个算了，application.properties加了两个密钥配置，一个是去往admin页面的，另一个是在admin操作时所需要的，验证码都放在了pathvariable里。

终于解决了手动改数据库时，写的缓存工具立即过期不好处理的问题了，直接remove（KEY）就可以了。

就差首页还是没放缓存了。