我想在我的 jsp 登录页面中实现保持登录或记住我。我正在使用基于容器的表单身份验证。我想我需要将用户的数据(例如用户 ID 和令牌)存储到 cookie 中,这是一种状态信息,用于确定用户是否已登录。另外我听说我们不应该存储用户的密码,即使它是加密的。
如果我存储了他们的密码和用户 ID,我可以在向用户显示登录页面之前通过将数据提交给 servlet 来自动让他们叹息。
如果我不存储他们的密码,我可以使用什么方法让他们自动登录?
问问题
861 次
1 回答
1
我建议您不要为此创建自己的框架,而是使用spring-security或Apache Shiro之类的东西,因为您的应用程序的安全性非常重要,而不是您通常想要从头开始构建的东西。
如果这纯粹是出于教育目的,我建议查看上述两个应用程序的代码,看看它们是如何处理它的。
我已经看到这实现为 cookie 中的安全令牌(具有到期日期),其值也存储在服务器上一段时间并与特定用户帐户相关联。当用户使用该 cookie 返回站点时,服务器会将其令牌值与 cookie 的值进行比较,如果匹配(且未过期)则让它们进入。
同样,最好使用预先存在和经过测试的库来完成此类工作。
祝你好运。
于 2012-07-19T21:06:32.747 回答