2012-07-19 209 views
1

我想在jsp登錄頁面中實現登錄或記住我。我使用基於容器的表單身份驗證。我認爲我需要將用戶的數據(如用戶標識和令牌)存儲到cookie中,以確定用戶是否已登錄。 另外我聽說我們不應該存儲用戶的密碼,即使它被加密。「保持登錄狀態」登錄頁面

如果我存儲了他們的密碼和userid,我可以在向用戶顯示登錄頁面之前將數據提交給servlet來自動嘆息它們。

如果我不存儲他們的密碼,我可以使用什麼方法自動對他們進行簽名?

回答

1

我建議你不要爲此創建自己的框架,而應使用類似spring-securityApache Shiro的東西,因爲應用程序的安全性非常重要,而不是您通常希望從頭構建的東西。

如果這純粹是出於教育目的,我會建議查看兩個提到的應用程序的代碼,看看他們如何處理它。

我已經看到這實現爲cookie中的安全令牌(具有到期日期),其值也存儲在服務器上一段時間並與特定用戶帳戶關聯。當用戶使用該cookie返回到站點時,服務器會將其標記值與cookie的值進行比較,如果匹配(並且未過期),則讓它們進入。

此外,最好使用預先存在和經過測試的庫進行此類工作。

祝你好運。