Cookie机制
Cookie是客户端的解决方案。用户用浏览器访问一个支持Cookie的网站的时候,用户会提供包含用户名的用户个人信息到服务器,
之后服务器向客户端回传相应的超文本也会发回这些个人信息,这些信息通过HTTP响应头(Response Header)传回来,
客户端浏览器收到来自服务器的响应后,浏览器将这些信息存放在一个统一的位置。
在windows系统中,我们可以从:[系统盘]:\Documents and Settings[用户名]\Cookies目录中,找到存储的Cookie。
之后客户端再想服务器发送请求,就会在请求头(Request Header)中存放相应的Cookies,把Cookie发送到服务器,
服务器接收到请求后就可以根据Cookie进行分析,得到客户端的特有信息。
比如网站登录页面中记住用户名和密码的勾选项,如果勾选之后再登录,下次登录就不需要再重复登录,这个功能就是通过Cookie实现的。
在web程序中,会话跟踪是很重要的,理论上一个用户的所有请求都属于同一个会话,另一个用户的所有请求都属于另一个会话,两者不能混淆。
而Web应用程序是使用Http协议传输数据的,Http协议是无状态的协议,一旦数据库交换完毕,客户端和服务端的连接就会关闭,再次交换数据需要建立新的连接。
这意味着服务器无法从连接上跟踪会话,比如用户A把一件商品放入购物车,连接关闭后,再次购买时服务器已经无法判断该购买行为是用户A还是用户B的会话了。
要跟踪会话,就要引入一种机制。
Cookie就是这样一种机制,它可以弥补Http协议无状态协议的不足。在Session出现之前,基本上所有网站都采用Cookie来跟踪会话。
如果把Cookie看成Http协议的一种扩展的话,就容易理解多了,本质上Cookie就是Http协议的一种扩展。有两个Http头部是专门负责设置和发送Cookie的,分别是Cookie-Set、Cookie。
当服务器返回客户端一个Http响应信息时,如果包含Cookie-Set这个头部时,意思就是指示客户端建立一个Cookie,并且在之后的请求中自动发送这个Cookie到服务端,知道这个Cookie过期。
如果Cookie的生命周期设置为整个会话期间,浏览器会将Cookie保存到内存中,浏览器关闭就会自动清除这个Cookie。
另一种情况就是设置了Cookie的生命周期,在生命周期内关闭浏览器,Cookie会保存在硬盘中,浏览器关闭也不会清除。
下次打开浏览器访问对应网站,这个Cookie会自动发送到服务器端。
Cookie的不可跨域名性
很多网站都会使用Cookie。例如,Google会向客户端颁发Cookie,Baidu也会向客户端办法Cookie,那么浏览器访问Google会不会也携带上Baidu颁发的Cookie呢?或者Google能不能修改Baidu颁发的Cookie呢?
答案是否定的。Cookie具有不可跨域名性。根据Cookie规范,浏览器访问Google只会携带Google的Cookie,而不会携带Baidu的Cookie。Google也只能操作Google的Cookie。
Cookie在客户端是由浏览器来管理的。浏览器能够保证Google只会操作Google的Cookie而不会操作Baidu的Cookie,从而保证用户的隐私安全。浏览器判断一个网站是否能操作另一个网站Cookie的依据是域名。Google和百度的域名不一样,因此Google不能操作Baidu的Cookie。
需要注意的是,虽然网站images.google.com与网站www.google.com同属于Google,但是域名不一样,二者同样不能互相操作彼此的Cookie。
要能互相访问,这就涉及到跨域的问题了。
Unicode编码:保存中文
中文和英文字符不同,中文属于Unicode字符,在内存中占4个字节,而英文属于ASCII字符,内存中只占两个字节。Cookie使用Unicode字符时需要对Unicode字符进行编码,否则会乱码。
提示:Cookie中保存中文只能编码。一般使用UTF-8编码即可,不推荐使用GBK等中文编码,因为浏览器不一定支持,而且JavaScript也不支持GBK编码。
BASE64编码:保存二进制图片
Cookies不仅可以使用ASCII字符与Unicode字符,还可以使用二进制数据。例如在Cookie中使用数字证书,提升安全度。使用二进制数据时也需要进行编码。
注意:虽然Cookie中可以保存二进制数据,但是并不使用。由于浏览器每次请求服务器都会携带Cookie,因此Cookie内容不宜过多,否则影响速度。Cookie的内容应该少而精。
设置Cookie的属性
除了name和value之外,Cookie还有其他几个常用的属性。每个属性对应一个getter方法与一个setter方法。Cookie类的所有属性如下所示。
String name:该Cookie的名称。Cookie一旦创建,名称便不可更改。
Object value:该Cookie的值。如果值为Unicode字符,需要为字符编码。如果值为二进制数据,则需要使用BASE64编码。
int maxAge:该Cookie失效的时间,单位秒。
如果为正数,则该Cookie在>maxAge秒之后失效。
如果为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie.
如果为0,表示删除该Cookie。默认为-1。
boolean secure:该Cookie是否仅被使用安全协议传输。安全协议。安全协议有HTTPS,SSL等,在网络上传输数据之前先将数据加密。默认为false。
String path:该Cookie的使用路径。如果设置为“/sessionWeb/”,则只有contextPath为“/sessionWeb”的程序可以访问该Cookie。
如果设置为“/”,则本域名下contextPath都可以访问该Cookie。注意最后一个字符必须为“/”。
String domian:可以访问该Cookie的域名。如果设置为".google.com",则所有以"google.com"为结尾的域名都可以访问该Cookie。注意第一个字符必须为"."。
String comment:该Cookie的用处说明。浏览器显示Cookie信息的时候显示该说明。
int version:该Cookie使用的版本号。
0表示遵循Netscape的Cookie规范,
1表示遵循W3C的RFC1209规范。
Cookie的有效期
Cookie的maxAge决定着Cookie的有效期,单位为秒(Second)。
Cookie中通过getMaxAge()和setMaxAge()来读写maxAge属性。
**如果maxAge为正数,则Cookie会在maxAge秒之后失效。浏览器会将maxAge为正数的Cookie持久化,即写到相应的Cookie文件中。无论用户关闭了浏览器还是电脑,只要在maxAge秒结束之前,登录网站时该Cookie都有效,
下面代码中的Cookie信息将永远有效:
Cookie cookie = new Cookie("username","helloweenvsfei"); // 新建Cookie
cookie.setMaxAge(Integer.MAX_VALUE); // 设置生命周期为MAX_VALUE
response.addCookie(cookie); // 输出到客户端
**如果maxAge为负数,则表示该Cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效,关闭窗口后该Cookie即失效。
maxAge为负数的Cookie,为临时性Cookie,不会被持久化,不会被写到Cookie文件中。Cookie信息保存在浏览器内存中,
因此关闭浏览器该Cookie就消失了。Cookie默认的maxAge值为-1。
**如果maxAge为0,则表示删除该Cookie。Cookie机制没有提供删除Cookie的方法,因此通过设置该Cookie即时失效实现删除Cookie的效果。失效的Cookie会被浏览器从Cookie文件或者内存中删除:
Cookie cookie = new Cookie("username","helloweenvsfei"); // 新建Cookie
cookie.setMaxAge(0); // 设置生命周期为0,不能为负数
response.addCookie(cookie); // 必须执行这一句
response对象提供的Cookie操作方法只有一个添加操作add(Cookie cookie),要想修改Cookie只能使用一个同名的Cookie来覆盖原来的Cookie,达到修改的目的。删除时只要把maxAge修改为0即可。
注意:从客户端读取Cookie时,包括maxAge在内的其他属性都是不可读的,也不会被提交,浏览器提交Cookie时只会提交name和value属性。maxAge属性只被浏览器用来判断Cookie是否过期。
Cookie并不提供修改、删除操作。如果要修改某个Cookie,只需要新建一个同名的Cookie,添加到reponse中覆盖原来的Cookie。
如果要删除某个Cookie,只需要新建一个同名的Cookie,并将maxAge设置为0,并添加到response覆盖原来的Cookie。
注意:修改、删除Cookie时,新建的Cookie除value、maxAge之外的所有属性,例如name、path、domain等,都要与原Cookie完全一样。
否则,浏览器将视为两个不同的Cookie不予覆盖,导致修改、删除失败。
Cookie是不可跨域名的。域名www.google.com颁发的Cookie不会被提交到域名www.baidu.com去。这是由Cookie的隐私安全机制决定的。
隐私安全机制能够精致网站非法获取其他网站的Cookie。
正常情况下,同一个一级域名下的两个二级域名如www.helloweenvsfei.com和images.helloweenvsfei.com也不能交互使用Cookie,因为二者的域名并不严格相同。如果想所有helloweenvsfei.com名下的二级域名都可以使用该Cookie,需要设置Cookie的domain参数,例如:
Cookie cookie =new Cookie("time","20080808");//新建Cookie
cookie.setDomain(".helloweenvsfei.com");//设置域名
cookie.setPath("/");//设置路径
cookie.setMaxAge(Integer.MAX_VALUE);//设置有效期
response.addCookie(cookie);//输出到客户端
domain属性决定运行访问Cookie的域名,而path属性决定允许访问Cookie的路径(ContextPath)。例如,如果只允许/sessionWeb/下的程序使用Cookie,可以这么写:
Cookie cookie = new Cookie("time","20080808"); // 新建Cookie
cookie.setPath("/session/"); // 设置路径
response.addCookie(cookie); // 输出到客户端
设置为“/”时允许所有路径使用Cookie。path属性需要使用符号“/”结尾。name相同但domain不同的两个Cookie也是两个不同的Cookie。
注意:页面只能获取它属于的Path的Cookie。例如/session/test/a.jsp不能获取到路径为/session/abc/的Cookie。使用时一定要注意。
1.domain表示的是cookie所在的域,默认为请求的地址,如网址为www.test.com/test/test.aspx,那么domain默认为www.test.com。
而跨域访问,如域A为t1.test.com,域B为t2.test.com,那么在域A生产一个令域A和域B都能访问的cookie就要将该cookie的domain设置为.test.com;
如果要在域A生产一个令域A不能访问而域B能访问的cookie就要将该cookie的domain设置为t2.test.com。
2.path表示cookie所在的目录,默认为/,就是根目录。在同一个服务器上有目录如下:/test/,/test/cd/,/test/dd/,
现设一个cookie1的path为/test/,cookie2的path为/test/cd/,那么test下的所有页面都可以访问到cookie1,而/test/和/test/dd/的子页面不能访问cookie2。
这是因为cookie能让其path路径下的页面访问。
Cookie的安全属性
HTTP协议不仅是无状态的,而且是不安全的。
使用HTTP协议的数据不经过任何加密就直接在网络上传播,有被截获的可能。
使用HTTP协议传输很机密的内容是一种隐患。如果不希望Cookie在HTTP等非安全协议中传输,可以设置Cookie的secure属性为true。
浏览器只会在HTTPS和SSL等安全协议中传输此类Cookie。
下面的代码设置secure属性为true:
Cookie cookie = new Cookie("time", "20080808"); // 新建Cookie
cookie.setSecure(true); // 设置安全属性
response.addCookie(cookie); // 输出到客户端
提示:secure属性并不能对Cookie内容加密,因而不能保证绝对的安全性。如果需要高安全性,需要在程序中对Cookie内容加密、解密,以防泄密。
案例:永久登录
如果用户在自己家的电脑上网,登录时就可以记住用户登录信息,下次访问就不需要再次登录,直接访问即可。
实现方法是把用户名和密码保存在Cookie中,并控制有效期,下次访问验证Cookie中的登录信息即可。
保存登录信息的方法有很多,最直接的就是直接把用户名和密码保存在Cookie中,下次访问时检查Cookie中的用户名和密码,和数据库做比较。
这是一种比较危险的选择,一般不把密码等重要信息保存在Cookie中。
还有一种方法是把密码加密后保存到Cookie中,下次访问时解密并与数据库比较。这种方案略微安全一点。
如果不希望保存密码,还可以把登录的时间戳保存到Cookie和数据库中,到时只验证用户名和登录时间戳就可以了。
Cookie是客户端的解决方案。用户用浏览器访问一个支持Cookie的网站的时候,用户会提供包含用户名的用户个人信息到服务器,
之后服务器向客户端回传相应的超文本也会发回这些个人信息,这些信息通过HTTP响应头(Response Header)传回来,
客户端浏览器收到来自服务器的响应后,浏览器将这些信息存放在一个统一的位置。
在windows系统中,我们可以从:[系统盘]:\Documents and Settings[用户名]\Cookies目录中,找到存储的Cookie。
之后客户端再想服务器发送请求,就会在请求头(Request Header)中存放相应的Cookies,把Cookie发送到服务器,
服务器接收到请求后就可以根据Cookie进行分析,得到客户端的特有信息。
比如网站登录页面中记住用户名和密码的勾选项,如果勾选之后再登录,下次登录就不需要再重复登录,这个功能就是通过Cookie实现的。
在web程序中,会话跟踪是很重要的,理论上一个用户的所有请求都属于同一个会话,另一个用户的所有请求都属于另一个会话,两者不能混淆。
而Web应用程序是使用Http协议传输数据的,Http协议是无状态的协议,一旦数据库交换完毕,客户端和服务端的连接就会关闭,再次交换数据需要建立新的连接。
这意味着服务器无法从连接上跟踪会话,比如用户A把一件商品放入购物车,连接关闭后,再次购买时服务器已经无法判断该购买行为是用户A还是用户B的会话了。
要跟踪会话,就要引入一种机制。
Cookie就是这样一种机制,它可以弥补Http协议无状态协议的不足。在Session出现之前,基本上所有网站都采用Cookie来跟踪会话。
如果把Cookie看成Http协议的一种扩展的话,就容易理解多了,本质上Cookie就是Http协议的一种扩展。有两个Http头部是专门负责设置和发送Cookie的,分别是Cookie-Set、Cookie。
当服务器返回客户端一个Http响应信息时,如果包含Cookie-Set这个头部时,意思就是指示客户端建立一个Cookie,并且在之后的请求中自动发送这个Cookie到服务端,知道这个Cookie过期。
如果Cookie的生命周期设置为整个会话期间,浏览器会将Cookie保存到内存中,浏览器关闭就会自动清除这个Cookie。
另一种情况就是设置了Cookie的生命周期,在生命周期内关闭浏览器,Cookie会保存在硬盘中,浏览器关闭也不会清除。
下次打开浏览器访问对应网站,这个Cookie会自动发送到服务器端。
Cookie的不可跨域名性
很多网站都会使用Cookie。例如,Google会向客户端颁发Cookie,Baidu也会向客户端办法Cookie,那么浏览器访问Google会不会也携带上Baidu颁发的Cookie呢?或者Google能不能修改Baidu颁发的Cookie呢?
答案是否定的。Cookie具有不可跨域名性。根据Cookie规范,浏览器访问Google只会携带Google的Cookie,而不会携带Baidu的Cookie。Google也只能操作Google的Cookie。
Cookie在客户端是由浏览器来管理的。浏览器能够保证Google只会操作Google的Cookie而不会操作Baidu的Cookie,从而保证用户的隐私安全。浏览器判断一个网站是否能操作另一个网站Cookie的依据是域名。Google和百度的域名不一样,因此Google不能操作Baidu的Cookie。
需要注意的是,虽然网站images.google.com与网站www.google.com同属于Google,但是域名不一样,二者同样不能互相操作彼此的Cookie。
要能互相访问,这就涉及到跨域的问题了。
Unicode编码:保存中文
中文和英文字符不同,中文属于Unicode字符,在内存中占4个字节,而英文属于ASCII字符,内存中只占两个字节。Cookie使用Unicode字符时需要对Unicode字符进行编码,否则会乱码。
提示:Cookie中保存中文只能编码。一般使用UTF-8编码即可,不推荐使用GBK等中文编码,因为浏览器不一定支持,而且JavaScript也不支持GBK编码。
BASE64编码:保存二进制图片
Cookies不仅可以使用ASCII字符与Unicode字符,还可以使用二进制数据。例如在Cookie中使用数字证书,提升安全度。使用二进制数据时也需要进行编码。
注意:虽然Cookie中可以保存二进制数据,但是并不使用。由于浏览器每次请求服务器都会携带Cookie,因此Cookie内容不宜过多,否则影响速度。Cookie的内容应该少而精。
设置Cookie的属性
除了name和value之外,Cookie还有其他几个常用的属性。每个属性对应一个getter方法与一个setter方法。Cookie类的所有属性如下所示。
String name:该Cookie的名称。Cookie一旦创建,名称便不可更改。
Object value:该Cookie的值。如果值为Unicode字符,需要为字符编码。如果值为二进制数据,则需要使用BASE64编码。
int maxAge:该Cookie失效的时间,单位秒。
如果为正数,则该Cookie在>maxAge秒之后失效。
如果为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie.
如果为0,表示删除该Cookie。默认为-1。
boolean secure:该Cookie是否仅被使用安全协议传输。安全协议。安全协议有HTTPS,SSL等,在网络上传输数据之前先将数据加密。默认为false。
String path:该Cookie的使用路径。如果设置为“/sessionWeb/”,则只有contextPath为“/sessionWeb”的程序可以访问该Cookie。
如果设置为“/”,则本域名下contextPath都可以访问该Cookie。注意最后一个字符必须为“/”。
String domian:可以访问该Cookie的域名。如果设置为".google.com",则所有以"google.com"为结尾的域名都可以访问该Cookie。注意第一个字符必须为"."。
String comment:该Cookie的用处说明。浏览器显示Cookie信息的时候显示该说明。
int version:该Cookie使用的版本号。
0表示遵循Netscape的Cookie规范,
1表示遵循W3C的RFC1209规范。
Cookie的有效期
Cookie的maxAge决定着Cookie的有效期,单位为秒(Second)。
Cookie中通过getMaxAge()和setMaxAge()来读写maxAge属性。
**如果maxAge为正数,则Cookie会在maxAge秒之后失效。浏览器会将maxAge为正数的Cookie持久化,即写到相应的Cookie文件中。无论用户关闭了浏览器还是电脑,只要在maxAge秒结束之前,登录网站时该Cookie都有效,
下面代码中的Cookie信息将永远有效:
Cookie cookie = new Cookie("username","helloweenvsfei"); // 新建Cookie
cookie.setMaxAge(Integer.MAX_VALUE); // 设置生命周期为MAX_VALUE
response.addCookie(cookie); // 输出到客户端
**如果maxAge为负数,则表示该Cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效,关闭窗口后该Cookie即失效。
maxAge为负数的Cookie,为临时性Cookie,不会被持久化,不会被写到Cookie文件中。Cookie信息保存在浏览器内存中,
因此关闭浏览器该Cookie就消失了。Cookie默认的maxAge值为-1。
**如果maxAge为0,则表示删除该Cookie。Cookie机制没有提供删除Cookie的方法,因此通过设置该Cookie即时失效实现删除Cookie的效果。失效的Cookie会被浏览器从Cookie文件或者内存中删除:
Cookie cookie = new Cookie("username","helloweenvsfei"); // 新建Cookie
cookie.setMaxAge(0); // 设置生命周期为0,不能为负数
response.addCookie(cookie); // 必须执行这一句
response对象提供的Cookie操作方法只有一个添加操作add(Cookie cookie),要想修改Cookie只能使用一个同名的Cookie来覆盖原来的Cookie,达到修改的目的。删除时只要把maxAge修改为0即可。
注意:从客户端读取Cookie时,包括maxAge在内的其他属性都是不可读的,也不会被提交,浏览器提交Cookie时只会提交name和value属性。maxAge属性只被浏览器用来判断Cookie是否过期。
Cookie并不提供修改、删除操作。如果要修改某个Cookie,只需要新建一个同名的Cookie,添加到reponse中覆盖原来的Cookie。
如果要删除某个Cookie,只需要新建一个同名的Cookie,并将maxAge设置为0,并添加到response覆盖原来的Cookie。
注意:修改、删除Cookie时,新建的Cookie除value、maxAge之外的所有属性,例如name、path、domain等,都要与原Cookie完全一样。
否则,浏览器将视为两个不同的Cookie不予覆盖,导致修改、删除失败。
Cookie是不可跨域名的。域名www.google.com颁发的Cookie不会被提交到域名www.baidu.com去。这是由Cookie的隐私安全机制决定的。
隐私安全机制能够精致网站非法获取其他网站的Cookie。
正常情况下,同一个一级域名下的两个二级域名如www.helloweenvsfei.com和images.helloweenvsfei.com也不能交互使用Cookie,因为二者的域名并不严格相同。如果想所有helloweenvsfei.com名下的二级域名都可以使用该Cookie,需要设置Cookie的domain参数,例如:
Cookie cookie =new Cookie("time","20080808");//新建Cookie
cookie.setDomain(".helloweenvsfei.com");//设置域名
cookie.setPath("/");//设置路径
cookie.setMaxAge(Integer.MAX_VALUE);//设置有效期
response.addCookie(cookie);//输出到客户端
domain属性决定运行访问Cookie的域名,而path属性决定允许访问Cookie的路径(ContextPath)。例如,如果只允许/sessionWeb/下的程序使用Cookie,可以这么写:
Cookie cookie = new Cookie("time","20080808"); // 新建Cookie
cookie.setPath("/session/"); // 设置路径
response.addCookie(cookie); // 输出到客户端
设置为“/”时允许所有路径使用Cookie。path属性需要使用符号“/”结尾。name相同但domain不同的两个Cookie也是两个不同的Cookie。
注意:页面只能获取它属于的Path的Cookie。例如/session/test/a.jsp不能获取到路径为/session/abc/的Cookie。使用时一定要注意。
1.domain表示的是cookie所在的域,默认为请求的地址,如网址为www.test.com/test/test.aspx,那么domain默认为www.test.com。
而跨域访问,如域A为t1.test.com,域B为t2.test.com,那么在域A生产一个令域A和域B都能访问的cookie就要将该cookie的domain设置为.test.com;
如果要在域A生产一个令域A不能访问而域B能访问的cookie就要将该cookie的domain设置为t2.test.com。
2.path表示cookie所在的目录,默认为/,就是根目录。在同一个服务器上有目录如下:/test/,/test/cd/,/test/dd/,
现设一个cookie1的path为/test/,cookie2的path为/test/cd/,那么test下的所有页面都可以访问到cookie1,而/test/和/test/dd/的子页面不能访问cookie2。
这是因为cookie能让其path路径下的页面访问。
3.浏览器会将domain和path都相同的cookie保存在一个文件里,cookie间用*隔开。
Cookie的安全属性
HTTP协议不仅是无状态的,而且是不安全的。
使用HTTP协议的数据不经过任何加密就直接在网络上传播,有被截获的可能。
使用HTTP协议传输很机密的内容是一种隐患。如果不希望Cookie在HTTP等非安全协议中传输,可以设置Cookie的secure属性为true。
浏览器只会在HTTPS和SSL等安全协议中传输此类Cookie。
下面的代码设置secure属性为true:
Cookie cookie = new Cookie("time", "20080808"); // 新建Cookie
cookie.setSecure(true); // 设置安全属性
response.addCookie(cookie); // 输出到客户端
提示:secure属性并不能对Cookie内容加密,因而不能保证绝对的安全性。如果需要高安全性,需要在程序中对Cookie内容加密、解密,以防泄密。
案例:永久登录
如果用户在自己家的电脑上网,登录时就可以记住用户登录信息,下次访问就不需要再次登录,直接访问即可。
实现方法是把用户名和密码保存在Cookie中,并控制有效期,下次访问验证Cookie中的登录信息即可。
保存登录信息的方法有很多,最直接的就是直接把用户名和密码保存在Cookie中,下次访问时检查Cookie中的用户名和密码,和数据库做比较。
这是一种比较危险的选择,一般不把密码等重要信息保存在Cookie中。
还有一种方法是把密码加密后保存到Cookie中,下次访问时解密并与数据库比较。这种方案略微安全一点。
如果不希望保存密码,还可以把登录的时间戳保存到Cookie和数据库中,到时只验证用户名和登录时间戳就可以了。
这几种方案验证账号时都要查询数据库。
本例将采用另一种方案,只在登录时查询一次数据库,以后访问验证登录信息时不再查询数据库。实现方式是把账号按照一定的规则加密后,连同账号一块保存到Cookie中。下次访问时只需要判断账号的加密规则是否正确即可。本例把账号保存到名为account的Cookie中,把账号连同密钥用MD1算法加密后保存到名为ssid的Cookie中。验证时验证Cookie中的账号与密钥加密后是否与Cookie中的ssid相等。相关代码如下:loginCookie.jsp:
<%@ page language="java" pageEncoding="UTF-8" isErrorPage="false" %>
<%! // JSP方法
private static final String KEY =":cookie@helloweenvsfei.com"; // 密钥
public final static String calcMD1(String ss) { // MD1 加密算法
String s = ss == null ? "" : ss; // 若为null返回空
char hexDigits[] = { '0','1', '2', '3', '4', '1', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f' }; // 字典
try {
byte[] strTemp = s.getBytes(); // 获取字节
MessageDigestmdTemp = MessageDigest.getInstance("MD1"); // 获取MD1
mdTemp.update(strTemp); // 更新数据
byte[] md =mdTemp.digest(); // 加密
int j =md.length; // 加密后的长度
char str[] = new char[j * 2]; // 新字符串数组
int k =0; // 计数器k
for (int i = 0; i< j; i++) { // 循环输出
byte byte0 = md[i];
str[k++] = hexDigits[byte0 >>> 4 & 0xf];
str[k++] = hexDigits[byte0 & 0xf];
}
return new String(str); // 加密后字符串
} catch (Exception e){return null; }
}
%>
<%
request.setCharacterEncoding("UTF-8"); // 设置request编码
response.setCharacterEncoding("UTF-8"); // 设置response编码
String action =request.getParameter("action"); // 获取action参数
if("login".equals(action)) { // 如果为login动作
String account =request.getParameter("account"); // 获取account参数
String password =request.getParameter("password"); // 获取password参数
int timeout = new Integer(request.getParameter("timeout")); // 获取timeout参数
String ssid =calcMD1(account + KEY); // 把账号、密钥使用MD1加密后保存
Cookie accountCookie = new Cookie("account", account); // 新建Cookie
accountCookie.setMaxAge(timeout); // 设置有效期
Cookie ssidCookie =new Cookie("ssid", ssid); // 新建Cookie
ssidCookie.setMaxAge(timeout); // 设置有效期
response.addCookie(accountCookie); // 输出到客户端
response.addCookie(ssidCookie); // 输出到客户端
// 重新请求本页面,参数中带有时间戳,禁止浏览器缓存页面内容
response.sendRedirect(request.getRequestURI() + "?" + System.currentTimeMillis());
return;
} else if("logout".equals(action)) { // 如果为logout动作
CookieaccountCookie = new Cookie("account", ""); // 新建Cookie,内容为空
accountCookie.setMaxAge(0); // 设置有效期为0,删除
Cookie ssidCookie =new Cookie("ssid", ""); // 新建Cookie,内容为空
ssidCookie.setMaxAge(0); // 设置有效期为0,删除
response.addCookie(accountCookie); // 输出到客户端
response.addCookie(ssidCookie); // 输出到客户端
// 重新请求本页面,参数中带有时间戳,禁止浏览器缓存页面内容
response.sendRedirect(request.getRequestURI() + "?" + System.currentTimeMillis());
return;
}
boolean login = false; // 是否登录
String account = null; // 账号
String ssid = null; // SSID标识
if(request.getCookies() !=null) { // 如果Cookie不为空
for(Cookie cookie : request.getCookies()) { // 遍历Cookie
if(cookie.getName().equals("account")) // 如果Cookie名为 account
account = cookie.getValue(); // 保存account内容
if(cookie.getName().equals("ssid")) // 如果为SSID
ssid = cookie.getValue(); // 保存SSID内容
}
}
if(account != null && ssid !=null) { // 如果account、SSID都不为空
login = ssid.equals(calcMD1(account + KEY)); // 如果加密规则正确, 则视为已经登录
}
%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01Transitional//EN">
<legend><%= login ? "欢迎您回来" : "请先登录"%></legend>
<% if(login){%>
欢迎您, ${cookie.account.value }.
<a href="${pageContext.request.requestURI }?action=logout">
注销</a>
<% } else { %>
<form action="${ pageContext.request.requestURI }?action=login" method="post">
<table>
<tr><td>账号: </td>
<td><input type="text"name="account" style="width:
200px; "></td>
</tr>
<tr><td>密码: </td>
<td><inputtype="password" name="password"></td>
</tr>
<tr>
<td>有效期: </td>
<td><inputtype="radio" name="timeout" value="-1"
checked> 关闭浏览器即失效 <br/> <input type="radio"
name="timeout" value="<%= 30 *24 * 60 * 60 %>"> 30天
内有效 <br/><input type="radio" name="timeout" value=
"<%= Integer.MAX_VALUE %>"> 永久有效 <br/> </td> </tr>
<tr><td></td>
<td><input type="submit"value=" 登 录 " class=
"button"></td>
</tr>
815
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
