Java安全有效的实现两星期内自动登陆功能

最新推荐文章于 2022-04-17 11:07:51 发布
最新推荐文章于 2022-04-17 11:07:51 发布
阅读量565 收藏
点赞数
分类专栏: Java后台 文章标签: 项目功能
现在很多网站都有为用户保存登陆信息(即保存Cookie)的功能,当用户下一次进入网站时,可以帮助用户自动登陆,使网站显得更加友好。笔者通过研究ACEGI项目的自动登陆源码,编写了一个安全有效的实现两星期自动登陆功能的JAVA工具类,下面是具体的实现流程和实现代码。

  先说一下流程:

  1.保存用户信息阶段:

  当用户登陆网站时,在登陆页面填写完用户名和密码后,如果用户在提交时还选择了“两星期内自动登陆”复选框,那么在后台程序中验证用户名和密码全都正确后,还要为用户保存这些信息,以便用户下一次可以直接进入网站;如果用户没有勾选“两星期内自动登陆”复选框,则不必为用户保存信息,那么用户在下一次登陆网站时仍需要填写用户名和密码。

  在保存用户信息阶段,主要的工作是对用户的信息进行加密并保存到客户端。加密用户的信息是较为繁琐的,大致上可分为以下几个步聚:

   ① 得到用户名、经MD5加密后的用户密码、cookie有效时间(本文设置的是两星期,可根据自己需要修改)
   ② 自定义的一个webKey,这个Key是我们为自己的网站定义的一个字符串常量,这个可根据自己需要随意设置
   ③ 将上两步得到的四个值得新连接成一个新的字符串,再进行MD5加密,这样就得到了一个MD5明文字符串
   ④ 将用户名、cookie有效时间、MD5明文字符串使用“:”间隔连接起来,再对这个连接后的新字符串进行Base64编码
   ⑤ 设置一个cookieName,将cookieName和上一步产生的Base64编码写入到客户端。

  2.读取用户信息:

  其实弄明白了保存原理,读取及校验原理就很容易做了。读取和检验可以分为下面几个步骤:

   ① 根据设置的cookieName,得到cookieValue,如果值为空,就不帮用户进行自动登陆;否则执行读取方法
   ② 将cookieValue进行Base64解码,将取得的字符串以split(“:”)进行拆分,得到一个String数组cookieValues(此操作与保存阶段的第4步正好相反),这一步将得到三个值:

cookieValues[0] ---- 用户名
cookieValues[1] ---- cookie有效时间
cookieValues[2] ---- MD5明文字符串

   ③ 判断cookieValues的长度是否为3,如果不为3则进行错误处理。
   ④ 如果长度等于3,取出第二个,即cookieValues[1],此时将会得到有效时间(long型),将有效时间与服务器系统当前时间比较,如果小于当前时间,则说明cookie过期,进行错误处理。
   ⑤ 如果cookie没有过期,就取cookieValues[0],这样就可以得到用户名了,然后去数据库按用户名查找用户。
   ⑥ 如果上一步返回为空,进行错误处理。如果不为空,那么将会得到一个已经封装好用户信息的User实例对象user
   ⑦ 取出实例对象user的用户名、密码、cookie有效时间(即cookieValues[1])、webKey,然后将四个值连接起来,然后进行MD5加密,这样做也会得到一个MD5明文字符串(此操作与保存阶段的第3步类似)
   ⑧ 将上一步得到MD5明文与cookieValues[2]进行equals比较,如果是false,进行错误处理;如果是true,则将user对象添加到session中,帮助用户完成自动登陆

  完整的代码,用途请参见注释

CookieUtil.java

处理cookie的工具类,包括读取,保存,清除三个主要方法。

package cn.itcast.util;

import java.io.IOException; 
import java.io.PrintWriter; 
import java.io.UnsupportedEncodingException; 
import javax.servlet.FilterChain; 
import javax.servlet.ServletException; 
import javax.servlet.http.Cookie; 
import javax.servlet.http.HttpServletRequest; 
import javax.servlet.http.HttpServletResponse; 
import javax.servlet.http.HttpSession; 
import java.security.MessageDigest; 
import java.security.NoSuchAlgorithmException; 
import cn.itcast.bean.User; 
import cn.itcast.dao.UserDAO; 
import cn.itcast.factory.DaoImplFactory; 
import com.sun.org.apache.xerces.internal.impl.dv.util.Base64;


/*

* 2007.09.21 by lyhapple

* */
public class CookieUtil {
//保存cookie时的cookieName
private final static String cookieDomainName = “cn.itcast”; 
//加密cookie时的网站自定码
private final static String webKey = “itcast”; 
//设置cookie有效期是两个星期,根据需要自定义
private final static long cookieMaxAge = 60 * 60 * 24 * 7 * 2; 
//保存Cookie到客户端--------------------------------------------------------------------------------------------------------
//在CheckLogonServlet.java中被调用
//传递进来的user对象中封装了在登陆时填写的用户名与密码
public static void saveCookie(User user, HttpServletResponse response) {

//cookie的有效期
long validTime = System.currentTimeMillis() + (cookieMaxAge * 1000); 
//MD5加密用户详细信息
String cookieValueWithMd5 =getMD5(user.getUserName() + ":" + user.getPassword()+ ":" + validTime + ":" + webKey); 
//将要被保存的完整的Cookie值
String cookieValue = user.getUserName() + ":" + validTime + ":" + cookieValueWithMd5; 
//再一次对Cookie的值进行BASE64编码
String cookieValueBase64 = new String(Base64.encode(cookieValue.getBytes())); 
//开始保存Cookie
Cookie cookie = new Cookie(cookieDomainName, cookieValueBase64);

//存两年(这个值应该大于或等于validTime)
cookie.setMaxAge(60 * 60 * 24 * 365 * 2); 
//cookie有效路径是网站根目录
cookie.setPath("/"); 
//向客户端写入
response.addCookie(cookie);

}

//读取Cookie,自动完成登陆操作--------------------------------------------------------------------------------------------

//在Filter程序中调用该方法,见AutoLogonFilter.java
public static void readCookieAndLogon(HttpServletRequest request, HttpServletResponse response, 
FilterChain chain) throws IOException, ServletException,UnsupportedEncodingException{
//根据cookieName取cookieValue
Cookie cookies[] = request.getCookies(); 
String cookieValue = null; 
if(cookies!=null){
for(int i=0; i<cookies.length; i++){
if (cookieDomainName.equals(cookies[i].getName())) {
cookieValue = cookies[i].getValue(); 
break; 
}
}
}


//如果cookieValue为空,返回,

if(cookieValue==null){

return;

}

//如果cookieValue不为空,才执行下面的代码

//先得到的CookieValue进行Base64解码

String cookieValueAfterDecode = new String (Base64.decode(cookieValue),"utf-8");

//对解码后的值进行分拆,得到一个数组,如果数组长度不为3,就是非法登陆
String cookieValues[] = cookieValueAfterDecode.split(":"); 
if(cookieValues.length!=3){
response.setContentType("text/html; charset=utf-8"); 
PrintWriter out = response.getWriter(); 
out.println("你正在用非正常方式进入本站..."); 
out.close(); 
return; 
}
//判断是否在有效期内,过期就删除Cookie
long validTimeInCookie = new Long(cookieValues[1]); 
if(validTimeInCookie < System.currentTimeMillis()){
//删除Cookie
clearCookie(response); 
response.setContentType("text/html; charset=utf-8"); 
PrintWriter out = response.getWriter(); 
out.println("<a href=’logon.jsp’>你的Cookie已经失效,请重新登陆</a>"); 
out.close(); 
return; 
}

//取出cookie中的用户名,并到数据库中检查这个用户名,
String username = cookieValues[0]; 
//根据用户名到数据库中检查用户是否存在
UserDAO ud = DaoImplFactory.getInstance();

User user = ud.selectUserByUsername(username);

//如果user返回不为空,就取出密码,使用用户名+密码+有效时间+ webSiteKey进行MD5加密
if(user!=null){
String md5ValueInCookie = cookieValues[2]; 
String md5ValueFromUser =getMD5(user.getUserName() + ":" + user.getPassword()+ ":" + validTimeInCookie + ":" + webKey); 
//将结果与Cookie中的MD5码相比较,如果相同,写入Session,自动登陆成功,并继续用户请求
if(md5ValueFromUser.equals(md5ValueInCookie)){
HttpSession session = request.getSession(true); 
session.setAttribute("user", user); 
chain.doFilter(request, response); 
}
}else{
//返回为空执行
response.setContentType("text/html; charset=utf-8"); 
PrintWriter out = response.getWriter(); 
out.println("cookie验证错误!"); 
out.close(); 
return; 
}
}
//用户注销时,清除Cookie,在需要时可随时调用------------------------------------------------------------
public static void clearCookie( HttpServletResponse response){
Cookie cookie = new Cookie(cookieDomainName, null); 
cookie.setMaxAge(0); 
cookie.setPath("/"); 
response.addCookie(cookie); 
}
//获取Cookie组合字符串的MD5码的字符串----------------------------------------------------------------------------
public static String getMD5(String value) {
String result = null; 
try{
byte[] valueByte = value.getBytes(); 
MessageDigest md = MessageDigest.getInstance("MD5"); 
md.update(valueByte); 
result = toHex(md.digest()); 
} catch (NoSuchAlgorithmException e2){
e1.printStackTrace(); 
}
return result; 
}

//将传递进来的字节数组转换成十六进制的字符串形式并返回

private static String toHex(byte[] buffer){
StringBuffer sb = new StringBuffer(buffer.length * 2); 
for (int i = 0; i < buffer.length; i++){
sb.append(Character.forDigit((buffer[i] & 0xf0) >> 4, 16)); 
sb.append(Character.forDigit(buffer[i] & 0x0f, 16)); 
}
return sb.toString(); 
}
}

下面的是对CookieUtil工具类各方法的调用演示:

User.java

封装用户信息的JavaBean对象模型
package com.itcast.bean; 
public class User {
private int id; 
private String userName; 
private String password; 
public String getPassword() {

return password;

}
public void setPassword(String password) {

this.password = password;

}

public String getUserName() {

return userName;

}

public void setUserName(String userName) {

this.userName = userName;

}

public int getId() {

return id;

}

public void setId(int id) {

this.id = id;

}

}

AutoLogonFilter.java

过滤器程序,可在WEB-INF/web.xml中设置过滤规则,本文对过滤规则不作介绍,此程序主要作用是检查用户在上一次登陆时是否保存了Cookie,如果保存了,就处理Cookie信息,并帮助用户自动登陆

本程序主要调用了CookieUtil.java中的读取与自动登陆方法,即readCookieAndLogon方法

package cn.itcast.filter;

import java.io.IOException; 
import javax.servlet.Filter; 
import javax.servlet.FilterChain; 
import javax.servlet.FilterConfig; 
import javax.servlet.ServletException; 
import javax.servlet.ServletRequest; 
import javax.servlet.ServletResponse; 
import javax.servlet.http.Cookie; 
import javax.servlet.http.HttpServletRequest; 
import javax.servlet.http.HttpServletResponse; 
import javax.servlet.http.HttpSession; 
import cn.itcast bean.User; 
import cn.itcast.util.CookieUtil;

public class AutoLogonFilter implements Filter {

public void destroy() {

}

//保存cookie时的cookieName,与CookieUtil.java中的设置相同

private final static String cookieDomainName = “cn.itcast”;

public void doFilter(ServletRequest req, ServletResponse resp,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest)req; 
HttpServletResponse response = (HttpServletResponse)resp; 
HttpSession session = request.getSession(true); 
User user = (User)session.getAttribute("user");


//如果封装的user不为空,说明已经登陆,则继续执行用户的请求.下面的就不处理了

if(user!=null){
chain.doFilter(request,response); 
return; 
}

//user为空,说明用户还没有登陆,就尝试得到浏览器传送过来的Cookie
Cookie cookies[] = request.getCookies(); 
String cookieValue = null; 
if(cookies!=null){
for(int i=0; i<cookies.length; i++){
if (cookieDomainName.equals(cookies[i].getName())) {
cookieValue = cookies[i].getValue(); 
break; 
}
}
}


//如果cookieValue为空,也继续执行用户请求
if(cookieValue==null){
chain.doFilter(request,response); 
return; 
}

//cookieValue不为空执行下面的方法,调用CookieUtil.java中的readCookieAndLogon方法
try{
CookieUtil.readCookieAndLogon(cookieValue, request, response, chain); 
}catch(Exception e){
e.printStackTrace(); 
}
}

public void init(FilterConfig arg0) throws ServletException {
}
}

CheckLogonServlet.java

验证用户登陆信息的Servlet,此程序调用了CookieUtil.java中的saveCookie方法

package cn.itcast.servlet;

/*
* update 2007.09.23 by lyhapple
* 检查用户登陆
* */

import java.io.IOException; 
import javax.servlet.ServletException; 
import javax.servlet.http.HttpServlet; 
import javax.servlet.http.HttpServletRequest; 
import javax.servlet.http.HttpServletResponse; 
import javax.servlet.http.HttpSession; 
import cn.itcast.bean.User; 
import cn.itcast.dao.UserDAO; 
import cn.itcast.factory.DaoImplFactory; 
import cn.itcast.util.CookieUtil;

public class CheckLogonServlet extends HttpServlet {

public void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
doPost(request, response); 
}

public void doPost(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
request.setCharacterEncoding("utf-8"); 
String username = request.getParameter("username").trim(); 
String password = CookieUtil.getMD5(request.getParameter("password")); 
String remeberMe = request.getParameter("remeberMe"); 
HttpSession session = request.getSession(false);

// 将接收到的用户名传递到UserDao的checkUser方法中,检查用户
// 返回一个User类型的对象
UserDAO ud = DaoImplFactory.getInstance(); 
User user = ud.selectUserByUsername(username); 
if (user == null) {
request.setAttribute("checkUserError","<a href='register.jsp'><font color=red>用户名不存在,请先注册</font></a>"); 
request.getRequestDispatcher("index.jsp").forward(request, response); 
return; 
}

if(!password.equals(user.getPassword())){
request.setAttribute("checkPasswordError","<font color=red>密码输入错误,请重新输入</font>"); 
request.getRequestDispatcher("index.jsp").forward(request, response); 
return; 
}


//保存Cookie,这里调用了CookieUtil.java中的saveCookie方法,将上面的user对象作为参数传递
if ("on".equals(remeberMe)) {
CookieUtil.saveCookie(user, response); 
}
//在Session中保存用户信息,并转向用户的个人信息页面
session.setAttribute("user", user); 
request.getRequestDispatcher("User/userInfo.jsp").forward(request,response); 
}
}
  UserDAO.java与DaoImplFactory.java属于持久层相关的程序,这里就不贴出来了,读者可根据自己需要选择不同的持久层框架,在本程序中只要实现查询用户的功能就可以了

光着脚丫数星星
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 自动登录功能_教你用Java安全有效实现星期自动登陆功能-Session
weixin_39853892的博客
02-16 440
现在很多网站都有为用户保存登陆信息(即保存Cookie)的功能,当用户下一次进入网站时,可以帮助用户自动登陆,使网站显得更加友好。笔者通过研究ACEGI项目自动登陆源码,编写了一个安全有效实现星期自动登陆功能JAVA工具类,。下面是具体的实现流程和实现代码。先说一下流程:1.保存用户信息阶段:当用户登陆网站时,在登陆页面填写完用户名和密码后,如果用户在提交时还选择了“星期自动登陆”复选...
JavaWeb新闻发布系统案例4
weixin_65479202的博客
03-31 2679
此次内容更新主要内容在为限制新闻发布系统后台访问权限,可将前几篇的新闻发布系统内容集合起来观看,后续还未更新完毕,敬请期待~~~
java登录验证码、2周内自动登录例题、注销
哈哈
04-17 2183
接上一篇 一、验证码 验证码Servlet页面:CodeController,同样继承BaseServlet ,value="/code",Login.jsp生成的图片<img ></img>图片路径就是 src= “/code?methode=createCode” CodeController页面有createCode方法 重点就是ValidateCode code = new ValidateCode(width,height,codeCount,lineCount);然后
j2ee cookie 实现自动登录
人活着为了什么
03-27 501
   一、什么是用户自动登录?    对于我们的网站向已注册用户提供某些专门的服务,比如网上购物、在线下载、收费浏览等等,就会要求用户在使用这些服务之前进入登录页面,输入用户名和密码,并进行验证。     如果用户经常访问我们的网站,假如每天都访问一次,或者好几次,那么用户每次都重复这些登录操作就会感到相当厌烦。通过一些简单的技术手段,我们可以让网站“记住”那些在曾经登录过的用户。...
教你用Java安全有效实现星期自动登陆功能
01-04
教你用Java安全有效实现星期自动登陆功能-Session
java实现自动补全功能
07-24
java ajax实现自动补全功能,代码完整,经过调试运行不会出错,有需要的朋友下载
java 连接数据库实现用户登录功能
12-08
java 连接数据库实现用户登录功能 能运行成功,适合初学者借鉴学习。
JAVA通过Session和Cookie实现网站自动登录
02-18
java通过session和cookie实现网站的自动登录
海康威视SDK自动拍照java代码(亲测有效))
12-18
在海康威视官网给的java源码的基础上进行了部分修改,经现场调试亲测有效,目前项目已结题,欢迎大家下载。
具有注册登录和7天内免登录功能
08-30
具有注册登录功能,使用监听器对在线人数计数,具有7天内免登录功能
JavaWeb-使用cookie完成周内免登录功能
迷失的星星的博客
11-11 6398
欢迎页面 &lt;%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%&gt; &lt;!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"&gt; &lt;html&gt; &lt;head&gt; &a
教你用Java安全有效实现星期自动登陆功能-Session
jandroid
08-22 140
现在很多网站都有为用户保存登陆信息(即保存Cookie)的功能,当用户下一次进入网站时,可以帮助用户自动登陆,使网站显得更加友好。笔者通过研究ACEGI项目自动登陆源码,编写了一个安全有效实现星期自动登陆功能JAVA工具类,。下面是具体的实现流程和实现代码。 先说一下流程: 1.保存用户信息阶段: 当用户登陆网站时,在登陆页面填写完用户名和密码后,如果用户在提交时还选择了“星期内自...
Java安全的七天自动登录
LYF01fang的博客
08-03 3669
做一个安全的七天自动登录 浏览器要实现自动登录,将登录信息保存本地的cookie里,但仅仅保存安全隐患高。 流程 1.保存用户信息,当选择七天自动登录复选框时,在后台验证用户密码正确后,将用户的这些信息保存。 保存信息时需对用户的信息进行加密再保存到客户端。 加密过程: 得到用户名和经MD5加密过的密码,cookie的有效时间,自定义一个webkey. 将上面的四个值重新连成一个字符
网站1周内自动登录功能实现
Burongwawa520的专栏
10-25 3225
在很多比较大型的网址例如:CSDN,大家在登录时候会有一个【下次自动登录】的功能,该功能与我们的1周内自动登录功能基本类似。所谓的自动登录无非就是,绕过登录界 面,自动登录到系统主页。 自动登录的原理比较简单,无非就是在客户端保存用户基本信息及登录信息到cookie中,在系统运行时访问保存的用户基本信息及登录信息,如果cookie失效跳转到登录界面,否 则直接调整到主页。与此同时,cooki
java七天免登陆_jsp实现简单用户7天内免登录
weixin_42498585的博客
02-13 1329
本文实例为大家分享了jsp实现简单用户7天内免登录的具体代码,供大家参考,具体内容如下(1)登陆页面:login.jsppageEncoding="utf-8"%>Insert title here用户名:记住我,7天内免登录验证session验证cookie(2)跳转页面:cookieUser.jsppageEncoding="utf-8"%>Insert title here//从...
php---一周内免登录
Hani的 编程生活
09-08 4623
在很多登陆界面 会有 一周内免登录功能
JAVA登录功能实现
最新发布
09-06
Java实现登录功能,通常有多种方式。在初学时,一般采用Servlet来处理登录请求。你可以创建一个登录页面,用户在该页面输入用户名和密码后,点击提交按钮,将表单数据发送到后台的Servlet。Servlet通过获取表单...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值