教你用Java安全有效的实现两星期内自动登陆功能-Session

最新推荐文章于 2021-11-23 22:48:58 发布
最新推荐文章于 2021-11-23 22:48:58 发布
阅读量158 收藏
点赞数
文章标签: java 数据库 web.xml
现在很多网站都有为用户保存登陆信息(即保存Cookie)的功能,当用户下一次进入网站时,可以帮助用户自动登陆,使网站显得更加友好。笔者通过研究ACEGI项目的自动登陆源码,编写了一个安全有效的实现两星期自动登陆功能的JAVA工具类,。下面是具体的实现流程和实现代码。

先说一下流程:

1.保存用户信息阶段:

当用户登陆网站时,在登陆页面填写完用户名和密码后,如果用户在提交时还选择了“两星期内自动登陆”复选框,那么在后台程序中验证用户名和密码全都正确后,还要为用户保存这些信息,以便用户下一次可以直接进入网站;如果用户没有勾选“两星期内自动登陆”复选框,则不必为用户保存信息,那么用户在下一次登陆网站时仍需要填写用户名和密码。

在保存用户信息阶段,主要的工作是对用户的信息进行加密并保存到客户端。加密用户的信息是较为繁琐的,大致上可分为以下几个步聚:

①得到用户名、经MD5加密后的用户密码、cookie有效时间(本文设置的是两星期,可根据自己需要修改)

②自定义的一个webKey,这个Key是我们为自己的网站定义的一个字符串常量,这个可根据自己需要随意设置

③将上两步得到的四个值得新连接成一个新的字符串,再进行MD5加密,这样就得到了一个MD5明文字符串

④将用户名、cookie有效时间、MD5明文字符串使用“:”间隔连接起来,再对这个连接后的新字符串进行Base64编码

⑤设置一个cookieName,将cookieName和上一步产生的Base64编码写入到客户端。

2.读取用户信息:

其实弄明白了保存原理,读取及校验原理就很容易做了。读取和检验可以分为下面几个步骤:

①根据设置的cookieName,得到cookieValue,如果值为空,就不帮用户进行自动登陆;否则执行读取方法

②将cookieValue进行Base64解码,将取得的字符串以split(“:”)进行拆分,得到一个String数组cookieValues(此操作与保存阶段的第4步正好相反),这一步将得到三个值:

cookieValues[0] ---- 用户名

cookieValues[1] ---- cookie有效时间

cookieValues[2] ---- MD5明文字符串

③判断cookieValues的长度是否为3,如果不为3则进行错误处理。

④如果长度等于3,取出第二个,即cookieValues[1],此时将会得到有效时间(long型),将有效时间与服务器系统当前时间比较,如果小于当前时间,则说明cookie过期,进行错误处理。

⑤如果cookie没有过期,就取cookieValues[0],这样就可以得到用户名了,然后去数据库按用户名查找用户。

⑥如果上一步返回为空,进行错误处理。如果不为空,那么将会得到一个已经封装好用户信息的User实例对象user

⑦取出实例对象user的用户名、密码、cookie有效时间(即cookieValues[1])、webKey,然后将四个值连接起来,然后进行MD5加密,这样做也会得到一个MD5明文字符串(此操作与保存阶段的第3步类似)

⑧将上一步得到MD5明文与cookieValues[2]进行equals比较,如果是false,进行错误处理;如果是true,则将user对象添加到session中,帮助用户完成自动登陆

完整的代码,用途请参见注释

CookieUtil.java

处理cookie的工具类,包括读取,保存,清除三个主要方法。

package cn.itcast.util; import java.io.IOException; import java.io.PrintWriter; import java.io.UnsupportedEncodingException; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import cn.itcast.bean.User; import cn.itcast.dao.UserDAO; import cn.itcast.factory.DaoImplFactory; import com.sun.org.apache.xerces.internal.impl.dv.util.Base64; /* * 2007.09.21 by lyhapple * */ public class CookieUtil { //保存cookie时的cookieName private final static String cookieDomainName = “cn.itcast”; //加密cookie时的网站自定码 private final static String webKey = “itcast”; //设置cookie有效期是两个星期,根据需要自定义 private final static long cookieMaxAge = 60 * 60 * 24 * 7 * 2; //保存Cookie到客户端-------------------------------------------------------------------------------------------------------- //在CheckLogonServlet.java中被调用 //传递进来的user对象中封装了在登陆时填写的用户名与密码 public static void saveCookie(User user, HttpServletResponse response) { //cookie的有效期 long validTime = System.currentTimeMillis() + (cookieMaxAge * 1000); //MD5加密用户详细信息 String cookieValueWithMd5 =getMD5(user.getUserName() + ":" + user.getPassword() + ":" + validTime + ":" + webKey); //将要被保存的完整的Cookie值 String cookieValue = user.getUserName() + ":" + validTime + ":" + cookieValueWithMd5; //再一次对Cookie的值进行BASE64编码 String cookieValueBase64 = new String(Base64.encode(cookieValue.getBytes())); //开始保存Cookie Cookie cookie = new Cookie(cookieDomainName, cookieValueBase64); //存两年(这个值应该大于或等于validTime) cookie.setMaxAge(60 * 60 * 24 * 365 * 2); //cookie有效路径是网站根目录 cookie.setPath("/"); //向客户端写入 response.addCookie(cookie); } //读取Cookie,自动完成登陆操作-------------------------------------------------------------------------------------------- //在Filter程序中调用该方法,见AutoLogonFilter.java public static void readCookieAndLogon(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException,UnsupportedEncodingException{ //根据cookieName取cookieValue Cookie cookies[] = request.getCookies(); String cookieValue = null; if(cookies!=null){ for(int i=0;i<cookies.length;i++){ if (cookieDomainName.equals(cookies[i].getName())) { cookieValue = cookies[i].getValue(); break; } } } //如果cookieValue为空,返回, if(cookieValue==null){ return; } //如果cookieValue不为空,才执行下面的代码 //先得到的CookieValue进行Base64解码 String cookieValueAfterDecode = new String (Base64.decode(cookieValue),"utf-8"); //对解码后的值进行分拆,得到一个数组,如果数组长度不为3,就是非法登陆 String cookieValues[] = cookieValueAfterDecode.split(":"); if(cookieValues.length!=3){ response.setContentType("text/html;charset=utf-8"); PrintWriter out = response.getWriter(); out.println("你正在用非正常方式进入本站..."); out.close(); return; } //判断是否在有效期内,过期就删除Cookie long validTimeInCookie = new Long(cookieValues[1]); if(validTimeInCookie < System.currentTimeMillis()){ //删除Cookie clearCookie(response); response.setContentType("text/html;charset=utf-8"); PrintWriter out = response.getWriter(); out.println("<a href=’logon.jsp’>你的Cookie已经失效,请重新登陆</a>"); out.close(); return; } //取出cookie中的用户名,并到数据库中检查这个用户名, String username = cookieValues[0]; //根据用户名到数据库中检查用户是否存在 UserDAO ud = DaoImplFactory.getInstance(); User user = ud.selectUserByUsername(username); //如果user返回不为空,就取出密码,使用用户名+密码+有效时间+ webSiteKey进行MD5加密 if(user!=null){ String md5ValueInCookie = cookieValues[2]; String md5ValueFromUser =getMD5(user.getUserName() + ":" + user.getPassword() + ":" + validTimeInCookie + ":" + webKey); //将结果与Cookie中的MD5码相比较,如果相同,写入Session,自动登陆成功,并继续用户请求 if(md5ValueFromUser.equals(md5ValueInCookie)){ HttpSession session = request.getSession(true); session.setAttribute("user", user); chain.doFilter(request, response); } }else{ //返回为空执行 response.setContentType("text/html;charset=utf-8"); PrintWriter out = response.getWriter(); out.println("cookie验证错误!"); out.close(); return; } } //用户注销时,清除Cookie,在需要时可随时调用------------------------------------------------------------ public static void clearCookie( HttpServletResponse response){ Cookie cookie = new Cookie(cookieDomainName, null); cookie.setMaxAge(0); cookie.setPath("/"); response.addCookie(cookie); } //获取Cookie组合字符串的MD5码的字符串---------------------------------------------------------------------------- public static String getMD5(String value) { String result = null; try{ byte[] valueByte = value.getBytes(); MessageDigest md = MessageDigest.getInstance("MD5"); md.update(valueByte); result = toHex(md.digest()); } catch (NoSuchAlgorithmException e2){ e1.printStackTrace(); } return result; } //将传递进来的字节数组转换成十六进制的字符串形式并返回 private static String toHex(byte[] buffer){ StringBuffer sb = new StringBuffer(buffer.length * 2); for (int i = 0; i < buffer.length; i++){ sb.append(Character.forDigit((buffer[i] & 0xf0) >> 4, 16)); sb.append(Character.forDigit(buffer[i] & 0x0f, 16)); } return sb.toString(); } }

下面的是对CookieUtil工具类各方法的调用演示:

User.java

封装用户信息的JavaBean对象模型

package com.itcast.bean; public class User { private int id; private String userName; private String password; public String getPassword() { return password; } public void setPassword(String password) { this.password = password; } public String getUserName() { return userName; } public void setUserName(String userName) { this.userName = userName; } public int getId() { return id; } public void setId(int id) { this.id = id; } }

AutoLogonFilter.java

过滤器程序,可在WEB-INF/web.xml中设置过滤规则,本文对过滤规则不作介绍,此程序主要作用是检查用户在上一次登陆时是否保存了Cookie,如果保存了,就处理Cookie信息,并帮助用户自动登陆

本程序主要调用了CookieUtil.java中的读取与自动登陆方法,即readCookieAndLogon方法

package cn.itcast.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import cn.itcast bean.User; import cn.itcast.util.CookieUtil; public class AutoLogonFilter implements Filter { public void destroy() { } //保存cookie时的cookieName,与CookieUtil.java中的设置相同 private final static String cookieDomainName = “cn.itcast”; public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest)req; HttpServletResponse response = (HttpServletResponse)resp; HttpSession session = request.getSession(true); User user = (User)session.getAttribute("user"); //如果封装的user不为空,说明已经登陆,则继续执行用户的请求.下面的就不处理了 if(user!=null){ chain.doFilter(request,response); return; } //user为空,说明用户还没有登陆,就尝试得到浏览器传送过来的Cookie Cookie cookies[] = request.getCookies(); String cookieValue = null; if(cookies!=null){ for(int i=0;i<cookies.length;i++){ if (cookieDomainName.equals(cookies[i].getName())) { cookieValue = cookies[i].getValue(); break; } } } //如果cookieValue为空,也继续执行用户请求 if(cookieValue==null){ chain.doFilter(request,response); return; } //cookieValue不为空执行下面的方法,调用CookieUtil.java中的readCookieAndLogon方法 try{ CookieUtil.readCookieAndLogon(cookieValue, request, response, chain); }catch(Exception e){ e.printStackTrace(); } } public void init(FilterConfig arg0) throws ServletException { } }

CheckLogonServlet.java

验证用户登陆信息的Servlet,此程序调用了CookieUtil.java中的saveCookie方法

package cn.itcast.servlet; /* * update 2007.09.23 by lyhapple * 检查用户登陆 * */ import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import cn.itcast.bean.User; import cn.itcast.dao.UserDAO; import cn.itcast.factory.DaoImplFactory; import cn.itcast.util.CookieUtil; public class CheckLogonServlet extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { doPost(request, response); } public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { request.setCharacterEncoding("utf-8"); String username = request.getParameter("username").trim(); String password = CookieUtil.getMD5(request.getParameter("password")); String remeberMe = request.getParameter("remeberMe"); HttpSession session = request.getSession(false); // 将接收到的用户名传递到UserDao的checkUser方法中,检查用户 // 返回一个User类型的对象 UserDAO ud = DaoImplFactory.getInstance(); User user = ud.selectUserByUsername(username); if (user == null) { request.setAttribute("checkUserError","<a href='register.jsp'><font color=red>用户名不存在,请先注册</font></a>"); request.getRequestDispatcher("index.jsp").forward(request, response); return; } if(!password.equals(user.getPassword())){ request.setAttribute("checkPasswordError","<font color=red>密码输入错误,请重新输入</font>"); request.getRequestDispatcher("index.jsp").forward(request, response); return; } //保存Cookie,这里调用了CookieUtil.java中的saveCookie方法,将上面的user对象作为参数传递 if ("on".equals(remeberMe)) { CookieUtil.saveCookie(user, response); } //在Session中保存用户信息,并转向用户的个人信息页面 session.setAttribute("user", user); request.getRequestDispatcher("User/userInfo.jsp").forward(request,response); } }

UserDAO.java与DaoImplFactory.java属于持久层相关的程序,这里就不贴出来了,读者可根据自己需要选择不同的持久层框架,在本程序中只要实现查询用户的功能就可以了哦...

iteye_20755
关注
java 自动登录功能_教你用Java安全有效实现星期自动登陆功能-Session
weixin_39853892的博客
02-16 461
现在很多网站都有为用户保存登陆信息(即保存Cookie)的功能,当用户下一次进入网站时,可以帮助用户自动登陆,使网站显得更加友好。笔者通过研究ACEGI项目的自动登陆源码,编写了一个安全有效实现星期自动登陆功能JAVA工具类,。下面是具体的实现流程和实现代码。先说一下流程:1.保存用户信息阶段:当用户登陆网站时,在登陆页面填写完用户名和密码后,如果用户在提交时还选择了“星期自动登陆”复选...
java用switch语句输出星期几,已开源
m0_56259669的博客
06-21 228
Java并发编程 3、什么是多线程中的上下文切换? 4、死锁与活锁的区别,死锁与饥饿的区别? 5、Java中用到的线程调度算法是什么? 6、什么是线程组,为什么在Java中不推荐使用? 》7、为什么使用Executor框架? 8、在Java中Executor和Executors的区别? 9.如何在Windows和Linux上查找哪个线程使用的CPU时间最长? 10、什么是原子操作?在Java Concurrency API中有哪些原子类(atomic cla 11、Java Concurrency API中
javaWeb_Session(实现用户一段时间自动登录)
06-05
通过javaWeb的Session技术,实现用户登录以后在一段时间内不用再次登录;关闭浏览器,再次打开上次登录页面,仍然处在登录状态。
Java代码实现自动登录功能
JavaCrazyer的ItEye(codewu.com)技术博客
09-23 367
通常我们登录某网站,会有选择保存几天,或者是几个星期不用登录,之后输入该网站地址无需登录直接进入主页面,那么这就叫做自动登录,怎么实现呢,下面我以一个小例子来演示一下 登录页面:login.jsp &lt;%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%&gt; &lt;html&gt; &lt;hea...
JavaWeb之Cookie实现网站三天免登陆
王飞的博客
07-08 1257
JavaWeb之Cookie实现网站三天免登陆
Spring+Mybatis项目:人员管理系统
Java小白的自学之路
11-19 277
课程介绍: 开发环境配置: 项目结构: 配置和注解: 数据库设计: 建表语句: drop database if exists sm; create database sm; use sm; create table department( id int primary key auto_increment, name varchar(20) n...
java使用cookie实现三天免登录功能
qq_35316580的博客
04-09 1245
cookie的工作模式 1.当浏览器向服务器发送一个请求的时候,服务器会在服务器端生成一个cookie,并且加入响应当中返回给浏览器。 2.浏览器访问服务器的时候,请求报文里面会携带cookie信息。 3.服务器端可以设置cookie的内容,生命时间,访问什么路径的时候携带等信息。 实现代码 服务器端的设置,在我的代码里面是一个servlet,在servlet里面新建一个cookie,并且将浏览器传来的用户名(uname)和密码(pwd)存储到cookie当中,设置cookie的生命时间为60秒(三天免登录
教你用Java安全有效实现星期自动登陆功能
01-04
### 教你用Java安全有效实现两周自动登录功能 #### 概述 本文将详细介绍如何使用Java技术安全实现用户两周内的自动登录功能自动登录功能为用户提供了一种便捷的体验,允许用户在一定时间内无需重复输入...
前端vue项目中使用sql-formatter结合codemirror实现sql编辑器中的SQL代码格式化功能自动匹配大小写功能、高亮功能
热门推荐
Mini_小仙女的博客
03-26 2万+
vue实现codemirror代码编辑器中的SQL代码格式化功能自动匹配大小写功能、高亮功能 前几天公司项目需要做个类似HUE的sql编辑器,需要实现sql语句的格式化功能自动匹配大小写、代码高亮等功能。现部门是做大数据的,所以各种数据各种sql各种hive,对于我一个纯前端妹子来讲对什么后台呀什么sql语句呀一点也不感兴趣,更是完全不懂。头大~~ 原本领导说是让我研究HUE源码,提取js,b...
会话控制 Cookie Session
Princess_Y
11-23 848
第1章 Cookie的介绍 1.1 为什么需要Cookie HTTP是无状态协议,**服务器不能记录浏览器的访问状态,也就是说服务器不能区分次请求是否由一个客户端发出。**这样的设计严重阻碍了Web程序的设计。如:在我们进行网购时,买了一条裤子,又买了一个手机。由于HTTP协议是无状态的,如果不通过其他手段,服务器是不能知道用户到底买了什么。而Cookie就是解决方案之一。 1.2 Cookie是什么 Cookie,翻译是小饼的意思。实际上就是服务器保存在浏览器上的一段信息。浏览器有了Cookie之后
Cookie 学习案例之三天免登录
04-25
用Cookie实现 三天免登录,以及session登录练习使用解决null显示问题
java简单实现用户登录功能
12-07
java+jsp页面实现用户登录功能,适用于新手更好的理解和上手登录的整个流程。
Java安全有效实现星期自动登陆功能
xiangwei556的专栏
01-30 804
 现在很多网站都有为用户保存登陆信息(即保存Cookie)的功能,当用户下一次进入网站时,可以帮助用户自动登陆,使网站显得更加友好。笔者通过研究ACEGI项目的自动登陆源码,编写了一个安全有效实现星期自动登陆功能JAVA工具类,下面是具体的实现流程和实现代码。  先说一下流程:  1.保存用户信息阶段:  当用户登陆网站时,在登陆页面填写完用户名和密码后,如果用户在提交时还选择了
Java安全的七天自动登录
LYF01fang的博客
08-03 3712
做一个安全的七天自动登录 浏览器要实现自动登录,将登录信息保存本地的cookie里,但仅仅保存安全隐患高。 流程 1.保存用户信息,当选择七天自动登录复选框时,在后台验证用户密码正确后,将用户的这些信息保存保存信息时需对用户的信息进行加密再保存到客户端。 加密过程: 得到用户名和经MD5加密过的密码,cookie的有效时间,自定义一个webkey. 将上面的四个值重新连成一个字符
javasession存取值和对象的一种方法
leedf的博客
05-14 1万+
javasession存取值和对象的一种方法 在后台方法中存值的一种方式,将对象或者值用session的setAttribute(key,value);方法存值, //登录方法 public BaseResult user_login(String userNO,String password,HttpSession session){ BaseResult result = ne...
如何实现一个安全的Web登陆
ReZero's Blog
10-14 4657
综述:待 Update:QUIC, SSO, HSTS等协议研究,SHA-1 可破解总结: 没有绝对的安全,能不自己做就不自己做, 要么 openID(不了解), 要么OAuth(推荐QQ & Github)本文不考虑键盘记录器等养毒行为, 本文不考虑堆栈溢出, exploit, SQL注入等。 单纯谈论偏向登陆会话过程思维养成key: 时间, 信任无解问题: CSRF, 中间人攻击(有应对方案,但
JavaWeb用户登录功能实现
weixin_33881753的博客
09-13 2162
大四快毕业了,3年多的时间中,乱七八糟得学了一大堆,想趁找工作之前把所学的东西整理一遍,所以就尝试着做一个完整的JavaWeb系统,这几天试着做了一个用户登录的功能,分享给大家,肯定有很多不完善的地方,希望大家提提宝贵的意见,必将努力完善它。 我贴出此篇博客的目的是,将一些以后有可能用到的重复性的代码保存下来,用于以后需要时直接复制粘贴,所以,此篇博客大部分都是代码,讲解性的...
从零开始java安全权限框架篇(四):security管理session
qq_35755863的博客
09-03 666
目录 一:基于Redis的Session共享 二:单体应用下Session功能实现 1.获取到当前用户 2.获取到所有的当前登录用户 (1)SecurityConfig的配置文件 (2)Contoller中调用 3.剔除某一个用户 4.同一个用户踢出上一次登录 一:基于Redis的Session共享 上一节中,我们谈到了记住我功能的存储,这里我们将对sessio...
JavaWeb学习总结(十二)——Session
weixin_34411563的博客
07-23 1567
一、Session简单介绍   在WEB开发中,服务器可以为每个用户浏览器创建一个会话对象(session对象),注意:一个浏览器独占一个session对象(默认情况下)。因此,在需要保存用户数据时,服务器程序可以把用户数据写到用户浏览器独占的session中,当用户使用浏览器访问其它程序时,其它程序可以从用户的session中取出该用户的数据,为用户服务。 二、Session和Cookie的...
JAVASession与Cookie实现网站自动登录详解
JAVA编程中,网站自动登录功能通常依赖于Session和Cookie这种技术来实现Session是一种服务器端的机制,而Cookie则主要在客户端存储数据。本文将详细介绍如何利用Session和Cookie在JAVA环境下构建一个支持用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值