理解Cookie和Session机制 —— 通过Cookie实现登陆保持

最新推荐文章于 2021-11-16 16:49:41 发布
最新推荐文章于 2021-11-16 16:49:41 发布
阅读量667 收藏 5
点赞数 1
分类专栏: Spring Boot java 文章标签: spring boot 实现 登陆保持 cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzhenv5/article/details/104485285
版权

文章目录

前言

通过Cookie实现登陆保持的原理是在cookie中保存登陆的账号和一个经过加密的ssid来达到校验的目录,通过给该cookie设置超时时间,则可以设置登陆状态保持的时间,十分方便

基本流程

  1. 客户端发送登陆请求
  2. 服务端获取账号和ssid的cookie
  3. 如果获取到cookie并且校验通过则登陆成功并返回
  4. 否则,开始校验账号密码,如果校验失败则返回账号密码错误
  5. 到了这一步,说明cookie校验没通过,但是账号密码验证通过了
  6. 给resoponse设置返回的Cookie,包括账号和加密的ssid,返回前端
  7. 注销即是给账号和ssi的cookie设置超时时间为0,则浏览器会自动删除账号和ssid的cookie

效果

登陆页
在这里插入图片描述
登陆成功后,注销页
在这里插入图片描述

实现

废话不多说,直接上完整代码:

服务端代码

import com.test.common.PJCommon;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.security.MessageDigest;
import java.util.HashMap;
import java.util.Map;

@Controller
@RequestMapping("/loginDemo")
public class LoginController {

    private static final String KEY = "huzhenv5"; // 密钥

    /***
     * 测试登录
     * 这里假设用户(userName=admin,password=1111)
     */
    @RequestMapping(value = "/login.do", method = RequestMethod.POST)
    @ResponseBody
    public Map login(HttpServletRequest request, HttpServletResponse response) {
        Map<String,Object> retMap = new HashMap<String,Object>();
        Map<String,String> paramMap = PJCommon.getRequestParamMapAndSessionInfo(request);
        try {
            String account = paramMap.get("account").toString(); // 获取account参数
            String password = paramMap.get("password").toString(); // 获取password参数
            int timeoutStr = new Integer(paramMap.get("timeout").toString()); // 获取timeout参数

            // cookie超时时间
            int timeout = 0;
            // 判断有效期
            switch (timeoutStr) {
                case 0:
                    // 每次都需重新登陆
                    break;
                case 1:
                    // 关闭浏览器即失效
                    timeout = -1;
                    break;
                case 2:
                    // 30天内有效
                    timeout = 30 *24 * 60 * 60;
                    break;
                case 3:
                    // 永久有效
                    timeout = Integer.MAX_VALUE;
                    break;
            }

            // 开始进行登陆校验
            boolean islogin = false; // 是否登录
            String thisaccount = null; // 账号
            String thisssid = null; // SSID标识
            // 如果Cookie不为空,遍历Cookie
            if(request.getCookies() != null) {
                for(Cookie cookie : request.getCookies()) {
                    if(cookie.getName().equals("account"))
                        thisaccount = cookie.getValue();
                    if(cookie.getName().equals("ssid"))
                        thisssid = cookie.getValue();
                }
            }
            // 如果account、SSID都不为空,则进行校验是否已登陆
            if(thisaccount != null && thisssid != null) {
                islogin = thisssid.equals(calcMD1(thisaccount + KEY));
                // cookie校验通过,登陆成功
                retMap.put("state", 0);
                retMap.put("message", "Cookie登陆成功");
                return retMap;
            }
            // 安全验证cookie缺失,或者cookie校验未通过
            // 开始校验账号密码看是否正确
            if (!"admin".equals(account) || !"1111".equals(password)) {
                // 账号密码校验不通过
                retMap.put("state", -1);
                retMap.put("message", "账号/密码错误");
                return retMap;
            }
            // 账号密码验证通过,返回保持登陆的Cookie
            // 把账号、密钥使用MD1加密后保存
            String ssid = calcMD1(account + KEY);
            // 新建Cookie
            Cookie accountCookie = new Cookie("account", account);
            accountCookie.setMaxAge(timeout); // 设置有效期
            accountCookie.setPath("/sbs"); // 设置路径,如果不设置,默认为当前请求路径 /sbs/loginDemo
            accountCookie.setHttpOnly(true); // 设为true后,只能通过http访问,不能通过document.cookie获取,防止xss读取cookie
            // 新建Cookie
            Cookie ssidCookie = new Cookie("ssid", ssid);
            ssidCookie.setMaxAge(timeout); // 设置有效期
            ssidCookie.setPath("/sbs"); // 设置路径,如果不设置,默认为当前请求路径 /sbs/loginDemo
            ssidCookie.setHttpOnly(true); // 设为true后,只能通过http访问,不能通过document.cookie获取,防止xss读取cookie
            // 输出到客户端
            response.addCookie(accountCookie);
            response.addCookie(ssidCookie);

            // 重新请求本页面,参数中带有时间戳,禁止浏览器缓存页面内容
//            response.sendRedirect(request.getRequestURI() + "?" + System.currentTimeMillis());

            retMap.put("state", 0);
            retMap.put("message", "账号密码登陆成功");

        }catch(Exception e) {
            e.printStackTrace();
            retMap.put("state", -2);
            retMap.put("message", "登陆失败");
        }
        return retMap;
    }

    /***
     * 注销用户
     */
    @RequestMapping(value = "/logout.do", method = RequestMethod.POST)
    @ResponseBody
    public Map logout(HttpServletRequest request, HttpServletResponse response) {
        Map<String,Object> retMap = new HashMap<String,Object>();
        Map<String,String> paramMap = PJCommon.getRequestParamMapAndSessionInfo(request);

        try {
            // cookie account
            Cookie accountCookie = new Cookie("account", "");
            accountCookie.setMaxAge(0); // 设置有效期为0,删除
            accountCookie.setPath("/sbs");
            // cookie ssid
            Cookie ssidCookie = new Cookie("ssid", "");
            ssidCookie.setMaxAge(0); // 设置有效期为0,删除
            ssidCookie.setPath("/sbs");
            // 输出到客户端
            response.addCookie(accountCookie);
            response.addCookie(ssidCookie);

            // 重新请求本页面,参数中带有时间戳,禁止浏览器缓存页面内容
//            response.sendRedirect(request.getRequestURI() + "?" + System.currentTimeMillis());

            retMap.put("state", 0);
            retMap.put("message", "注销成功");

        } catch (Exception e) {
            e.printStackTrace();
            retMap.put("state", -2);
            retMap.put("message", "注销失败");
        }

        return retMap;
    }


    /**
     * md1加密算法
     * */
    public String calcMD1(String ss) { // MD1 加密算法
        String s = ss == null ? "" : ss; // 若为null返回空
        char hexDigits[] = { '0','1', '2', '3', '4', '1', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f' }; // 字典
        try {
            byte[] strTemp = s.getBytes();                          // 获取字节
            MessageDigest mdTemp = MessageDigest.getInstance("MD5"); // 获取MD1
            mdTemp.update(strTemp);                                // 更新数据
            byte[] md = mdTemp.digest();                        // 加密
            int j = md.length;                                 // 加密后的长度
            char str[] = new char[j * 2];                       // 新字符串数组
            int k =0;                                         // 计数器k
            for (int i = 0; i< j; i++) {                       // 循环输出
                byte byte0 = md[i];
                str[k++] = hexDigits[byte0 >>> 4 & 0xf];
                str[k++] = hexDigits[byte0 & 0xf];
            }
            return new String(str);                             // 加密后字符串
        } catch (Exception e){
            return null;
        }
    }

}

前端登陆页代码

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登陆</title>

    <script type="text/javascript" src="../../plugins/jquery/jquery-1.11.3.min.js"></script>
    <script type="text/javascript" src="login.js"></script>
</head>
<body>

<form>
    <table>
        <tr><td>账号: </td>
            <td><input id="accountInput" type="text"></td>
        </tr>
        <tr>
            <td>密码: </td>
            <td><input id="psInput" type="password"></td>
        </tr>
        <tr>
            <td>有效期: </td>
            <td id="timeRadios">
                <input type="radio" name="timeout" value="0" checked> 每次都需重新登陆 <br/>
                <input type="radio" name="timeout" value="1"> 关闭浏览器即失效 <br/>
                <input type="radio" name="timeout" value="2"> 30天内有效<br/>
                <input type="radio" name="timeout" value="3"> 永久有效<br/>
            </td>
        </tr>
        <tr>
            <td><input type="button" value=" 登  录 " class="button" onclick="doLogin()"></td>
        </tr>
    </table>
</form>

</body>
</html>


// 页面初始化方法
$(document).ready(function(){
    login(false);
});

function doLogin() {
    login(true);
}

/**
 * 登陆方法
 * @param showAlter 失败是否报错
 * */
function login(showAlter) {
    var account = $('#accountInput').val();
    var ps = $('#psInput').val();
    var timeout = $('#timeRadios > input:checked').val();
    // 请求
    $.ajax({
        type : 'POST',
        data: {
            account: account,
            password: ps,
            timeout: timeout
        },
        dataType: 'json',
        url : "../../loginDemo/login.do",
        success: function(res) {
            if (res.state == 0) {
                console.log(res.message);
                location.href = '../main/main.html'
            } else {
                showAlter && alert('失败:' + res.message);
            }
        },
        error: function(err) {
            showAlter && alert('错误:' + err.message);
        }
    })
}

前端注销页代码

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>xxx系统</title>

    <script type="text/javascript" src="../../plugins/jquery/jquery-1.11.3.min.js"></script>
    <script type="text/javascript" src="main.js"></script>
</head>
<body>

    <h1>Welcome to xxx 系统</h1>

    <input type="button" value=" 注  消 " class="button" onclick="logout()">

</body>
</html>

function logout() {
    $.ajax({
        type : 'POST',
        dataType: 'json',
        url : "../../loginDemo/logout.do",
        success: function(res) {
            if (res.state == 0) {
                location.href = '../login/login.html'
            } else {
                alert('失败:' + res.message);
            }
        },
        error: function(err) {
            alert('错误:' + err.message);
        }
    })
}

Git

该工程通过spring boot实现,完整的工程可以访问笔者的GitHub

GitHub链接:https://github.com/huzhen-v5/spring-boot-swagger
分支名:logindemo

huzhenv5
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CookieSession实现保存登录状态登录
a754895的博客
09-11 5万+
  首先CookieSession都是为了状态管理,HTTP协议是无状态的,不能保存每次提交的信息,即当服务器返回与请求相对应的应答之后,这次事务的所有信息就丢掉了。   如果用户发来一个新的请求,服务器无法知道它是否与上次的请求有联系。   对于那些需要多次提交数据才能完成的Web操作,比如登录来说,就成问题了。所以需要状态管理也就是通过CookieSession。 一.Cook...
CookieSession以及Token的区别 以及身份认证 保持登录状态
m0_54416083的博客
06-04 534
http协议是无状态的:关闭网页再次访问服务器,服务器不知道是你再次访问即客户端进行用户名和密码认证登录,页面关闭后,下一次用户还得再发送一次请求来进行用户认证。每次HTTP请求都自动带上cookie数据给服务器即可在cookie中存储账户和密码,来实现保持登录。但在浏览器中可以查看保存了哪些cookie,以及cookie中的内容,因此cookie中存储用户名和密码是极为不安全的。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vkcRBoNl-1654274847548)(C
cookie的使用与session保持
xiaoke2213的博客
03-12 566
cookie的使用与session保持 首先科普概念,具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案。同时我们也看到,由于采用服务器端保持状态的方案在客户端也需要保存一个标识,所以session机制是需要借助于cookie机制来达到保存标识的目的,所谓session保持会话,对于客户端来说,就是cookie的自动管理。
cookiesession作用和工作原理
qq_60976312的博客
11-16 654
cookie cookie是由服务器端生成,cookie总是保存在客户端中,浏览器关闭后cookie就会消失 工作原理: 生成一个唯一的识别码,创建一个cookie对象,默认情况下他是一个会话级别的cookie,存储在浏览器内部,用户退出浏览器之后被删除,如果网站希望浏览器将cookie存储在磁...
CookieSession的作用和工作原理
打代码的小女孩
03-12 923
会话的概念   会话可简单理解为:用户开一个浏览器,点击多个超链接,访问服务器多个web资源,然后关闭浏览器,整个过程称之为一个会话。   有状态会话:一个同学来过教室,下次再来教室,我们会知道这个同学曾经来过,这称之为有状态会话。    Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Ses...
Java Web学习之CookieSession的深入理解
08-27
* Session为一个客户浏览器独享,Session是通过Cookie机制实现的。 三、CookieSession的异同: * 都是用来保存用户状态信息的一种方法或手段。 * Cookie保存在客户端,Session保存在服务器端。 * Cookie安全...
11_JavaWeb——Cookie&Session案例资源
05-01
此资源是我的博客11_JavaWeb——Cookie&Session中的案例资源,关于比较难以编写的工具类我已在博客中给出,下载此资源后可直接运行,实现登录注册功能。其中登录功能能够记住用户使得下次登录不需要重复输入用户名和...
关于sessioncookie的简单理解
09-02
【关于SessionCookie的简单理解】 在Web开发中,保持用户状态是至关重要的,而HTTP协议本身是无状态的,这就需要我们借助额外的技术手段来实现。本文将介绍两种常用的技术——SessionCookie,它们都是用来跟踪...
Python Web框架之Django框架cookiesession用法分析
01-20
本文实例讲述了Python Web框架之Django框架cookiesession用法。分享给大家供大家参考,具体如下: part 1 概念 在Django里面,cookiesession都记录了客户端的某种状态,用来跟踪用户访问网站的整个回话。 两者...
深入理解ServletJSP之“CookieSession原理”很详细
03-08
### 深入理解Servlet/JSP之“CookieSession原理” #### 一、Cookie Cookie是一种常用的技术,用于实现Web应用程序中的用户会话管理。它允许服务器存储一些数据(通常是小文本文件)在用户的计算机上,以便后续...
SessionCookie保存值
weixin_40829874的博客
01-30 425
控件+事件 一:系统对象的使用 Request QueryString[] 获取通过URL路径传来的数据 Form 获取表单提供过来的数据 Params 所有的请求参数 可以代替querystring,和form ServerVariables 获取请求用户的环境,主要是浏览器,语言,IP地址等 以上属性均是以键值对保存数据,使用时需要知道键名. … Respon...
cookiesession机制与原理
xianjie0318的博客
03-11 596
cookie机制。正统的cookie分发是通过扩展HTTP协议来实现的,服务器通过在HTTP的响应头中上一行特殊的指示以提示浏览器按照指示生成相应的cookie。然而纯粹的客户端脚本如JavaScript或者VBScript也可以生成cookie。而cookie的使用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的cookie,如果某个cookie所声明的作用范围大于等于将...
理解CookieSession机制 —— 通过Session实现登陆保持
huzhenv5的博客
02-25 739
文章目录前言效果服务端代码前端登陆页脚本前端注销页脚本和通过Cookie方式实现的比较Cookie优点:Cookie缺点:Session优点:Session缺点: 前言 通过Session实现登陆保持的原理很简单,保存在服务端中的Session可以保存用户名和id等一些信息,在用户登陆成功后,将这些信息保存在Session中即可,服务端会自动在创建session的时候将该session的id通过响...
架构文摘:分布式系统Session一致性问题解析
我心依旧,明月长歌
03-20 912
一、问题的提出 1. 什么是Session? 用户使用网站的服务,需要使用浏览器与Web服务器进行多次交互。HTTP协议本身是无状态的,需要基于HTTP协议支持会话状态Session State)的机制。具体的实现方式是:在会话开始时,分配一个 唯一的会话标识(SessionID),并通过Cookie将这个标识告诉浏览器,以后每次请求的时候,浏览器都会带上这个会话标识SessionID...
http相关的sessioncookie的工作原理与身份认证
Learning Machine learning Machine Learning
09-10 1836
类型选原创是有点惭愧 其实是我看了这篇文章的总结:http://blog.csdn.net/kgd1120/article/details/2159458 写得很好,就是略长,后面java的httpsession我就没看了 正题: 经常上98什么的时候,发现只要不点退出,直接关闭浏览器,下次打开还是登录状态。(这和记住密码不一样,记住密码是浏览器的功能,还是需要再登录的) 而淘宝
web开发中sessioncookie的区别、安全性
E.W的博客
10-26 1074
一、为什么session,cookie经常会有人提到 做web开发的人基本上都会用sessioncookie,但是仅仅只是会用,并不知道sessioncookie的真正的工作原理,都只是凭着感觉来猜测。web开发者只要利用它们来完成工作就行了,所以每个人的理解基本都会有大同小异,我想这就是sessioncookie经常会被讨论的原因。本文也是根据个人经验,以及个人所学,对session,co...
关于security cookie
左雪菲的专栏
06-15 1666
这里主要讨论栈,不是堆。   首先,security cookie并不是windows系统自带的保护机制,并不是说一个确实存在溢出漏洞的程序,放到带security cookie保护的环境中,就不能正常溢出了。   那么,到底是什么是security cookie呢?   我觉得从广义上讲,它应该是一种保护栈的机制,提供这种保护的,是程序本身,编译进程序本身的代码提供的,而不是系统中某个
Cookie/Session机制详解
热门推荐
瞧字不识
11-09 45万+
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 1.1  Cookie机制 在程序中,会话
实现登录状态保持的两种方法 cookiesession和token
暮云归@技术人生
09-23 6288
传统的实现登录状态保存的两种方法时直接保存服务器端session 和客户端cookie, 现在介绍一种通过生成token的方式保存登录信息。 实现登录状态保持的两种方法: 第一种,cookiesession的配合使用 实现原理:当用户请求页面,一般需要先登录,用户第一次输入用户名和密码之后,前台发送post请求,后台获取用户信息,通过查询数据库来验证用户信息是否正确,如果验证通过,则会开辟一块...
Cookie安全挑战与实际应用
在2015年的USENIX Security会议上,...理解Cookie的工作原理、安全风险以及如何正确使用它们,对于Web开发者和安全专家来说至关重要。在应对"Cookie之困"的过程中,需要不断更新安全策略和技术,以确保用户数据的安全。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值