通过Cookie以及Token实现十天内免登录

最新推荐文章于 2024-11-14 16:07:01 发布
最新推荐文章于 2024-11-14 16:07:01 发布
阅读量1k 收藏 22
点赞数 13
文章标签: java Jwt Token Cookie 十天内免登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51321722/article/details/141188055
版权

在现代Web应用中,为了提升用户体验,经常需要实现免登录功能,即用户在一定时间内访问网站时无需重复登录。这通常可以通过结合使用Cookie和Token来实现。本文将详细介绍如何利用这两种技术实现十天内免登录的功能。

一、理解Cookie与Token

  1. Cookie
    Cookie是服务器发送到用户浏览器并保存在本地的小块数据。它用于告知服务器两个请求是否来自同一浏览器,使得服务器能够识别用户的身份或会话状态。

  2. Token
    Token通常指的是身份令牌,它是一种用于身份验证和授权的字符串。在用户登录后,服务器会生成一个Token并将其发送给用户。用户随后的每次请求都会携带这个Token,以证明其身份。

二、实现十天内免登录的步骤

  1. 用户登录
    当用户输入用户名和密码进行登录时,服务器会验证这些凭据。如果凭据有效,服务器会生成一个Token,并将其与用户信息关联起来存储在服务器上。

  2. 发送Token和设置Cookie
    服务器将生成的Token发送给用户的浏览器,并同时设置一个Cookie,其中包含Token的标识符(而不是Token本身)。这个Cookie的过期时间设置为十天。

  3. 存储Token在客户端
    用户的浏览器接收到Token后,可以选择将其存储在localStorage或sessionStorage中,以便在后续的请求中使用。

  4. 自动登录
    当用户再次访问网站时,浏览器会自动发送之前设置的Cookie给服务器。服务器根据Cookie中的Token标识符查找对应的Token,并验证其有效性。如果Token有效,服务器将认为用户已登录,并允许其访问受保护的资源。

  5. 更新Token和Cookie
    为了安全起见,服务器可以定期更新Token,并更新Cookie中的Token标识符。这有助于防止Token被长时间滥用。

  6. 注销和清除Token
    当用户注销时,服务器应使当前的Token失效,并清除浏览器中的Cookie和存储的Token。

三、安全性考虑

  1. 使用HTTPS
    始终通过HTTPS传输Cookie和Token,以防止中间人攻击。

  2. 设置Cookie的属性
    将Cookie的Secure属性设置为true,以确保它只能通过HTTPS传输。将HttpOnly属性设置为true,以防止跨站脚本攻击(XSS)。

  3. Token的过期和刷新
    为Token设置合理的过期时间,并定期刷新Token,以减少Token被滥用的风险。

  4. 存储Token的安全性
    在客户端存储Token时,应确保使用安全的方式,如localStorage,并避免将Token暴露在URL或日志中。

部分代码:

关于Token的工具类,包括生成、解析

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

public class JwtUtil {

    //生成token
    public static String generateToken(String loginAct, String secretKey) {
        long tenDays = 10 * 24 * 60 * 60 * 1000; // 十天的时间,单位毫秒
        Date now = new Date();
        // 添加JWT的过期时间
        Date expiryDate = new Date(now.getTime() + tenDays);

        return Jwts.builder()
                .setSubject(loginAct) // 设置JWT的主题,通常是用户ID或用户名
                .setIssuedAt(now) // 设置签发时间
                .setExpiration(expiryDate) // 设置过期时间
                .signWith(SignatureAlgorithm.HS256, secretKey) // 使用HS256算法和密钥进行签名
                .compact(); // 生成并返回JWT
    }

    //验证token
    public static Claims validateToken(String token, String secretKey) {
        try {
            Claims claims = Jwts.parser()
                    .setSigningKey(secretKey)
                    .parseClaimsJws(token)
                    .getBody();

            // 检查Token是否过期
            Date now = new Date();
            Date expiryDate = claims.getExpiration();
            if (now.after(expiryDate)) {
                throw new SecurityException("Token has expired");
            }

            // 返回Claims对象,其中包含用户信息等
            return claims;
        } catch (Exception e) {
            // 处理Token验证失败的情况
            throw new RuntimeException("Token validation failed", e);
        }
    }
}

身份验证以及存储Token和Cookie

//保存身份信息
String str = user.getLoginAct() + "," + user.getLoginPwd();

//token生成
String secretKey = String.valueOf(HS256Util.generateHS256Key());
Cookie sk = new Cookie("secretKey",secretKey);
sk.setMaxAge(10*24*60*60);
response.addCookie(sk);
String token = JwtUtil.generateToken(str, secretKey);

//存储token
Cookie c2=new Cookie("AuthToken",token);
response.addCookie(c2);

生成HS256密钥工具类

import java.security.SecureRandom;

public class HS256Util {

    /**
     * 生成一个256位的密钥(即32字节)。
     *
     * @return 密钥的字节表示。
     */
    public static byte[] generateHS256Key() {
        byte[] key = new byte[32]; // 256位 = 32字节
        new SecureRandom().nextBytes(key); // 使用SecureRandom填充密钥
        return key;
    }
}

通过结合使用Cookie和Token,我们可以实现一个既安全又方便的十天内免登录功能。这不仅可以提升用户体验,还可以减少服务器的验证负担。

移动端双Token免登录(附代码)
Millet
07-28 1929
参考自:https://blog.csdn.net/huweijian5/article/details/88903561 前奏 在安卓中一开始使用一个Token进行接口安全,但是Token假如过期时间设置的长,难免会有安全风险,假如设置的时间端,就会出现用户没用多久,就会使得用户需要重新登录 采用双Token的方式,来使用户无感知的刷新Token实现真正的免登录 设计 用户在登录之后返回access_token和refresh_token(这里假定他们的有效期分别是2小时和7天) 当access_
java实现三天免登陆_JWT过期刷新问题,实现十五天免登陆
weixin_39599046的博客
11-21 928
违背的青春Spring Security(一):整合JWT实现登录功能Spring Security(二):获取用户权限菜单树Spring Security(三):与Vue.js整合Spring Security(四):更新前端路由获取方式Spring Security(五):前后端权限控制详解Spring Security(六):前端菜单,角色权限页面的搭建Spring Security(七)...
cookie,token实现免登陆
weixin_45656577的博客
04-04 3146
1.打开chrome浏览器,F12-Application-Storage-Cookies-找到对应的cookie(至少需要name,value) import time from selenium import webdriver import json driver = webdriver.Chrome() # 要先访问一次这个域名 driver.get("http://https://w...
10天免登陆代码完整版和注意开发事项
10-17
10天免登陆代码完整版和注意开发事项
vue项目,实现跨系统跳转免登录,点击链接直接进入项目首页,有token免登录,否则就跳转到登录页
最新发布
weixin_57237676的博客
11-14 777
实现的功能是,在地址后面拼接个token,如果有token,则直接跳转到首页,若没有token,则跳转到登录页面,实现跨系统跳转免登录。将获取的token作为参数查询用户信息,获取动态路由,最后获取到用户信息和路由数据后路由守卫会直接放行到首页,否则,放行到登陆页面。(一般情况下都会分为三步,一获取二存储三清除,在获取到token后,都会存储在localStorage里面,再做其他调用)在获取用户信息之前,肯定需要传token的,即根据token获取用户信息。这个时候你已经获取到了链接里面的token了。
携带本地Cookies去请求接口, 无需登录, 兼容Chrome、Firefox、Edge浏览器
那年的考试忘记了写名字
01-15 1036
是一个 Python 库,它的主要作用是从本地安装的浏览器(如 Chrome、Firefox、Edge 等)中提取 Cookie。这些 Cookie 可以用于模拟浏览器会话,使得在编写爬虫或自动化脚本时能够绕过登录步骤,直接访问需要认证的页面或执行其他需要 Cookie 的操作。
前端实现免密登录
m0_68716504的博客
03-25 1114
【代码】前端实现免密登录。
前端如何做七天免登录
weixin_54165147的博客
03-21 3334
总之,实现七天免登录的关键在于生成带过期时间的token,并将其保存在客户端。在每次请求时携带token,并在服务端进行验证即可。如果用户勾选了“七天免登录”选项,则在服务器端将token的过期时间设置为7天后。这样,在客户端关闭浏览器、退出登录之后,再次访问网站时,仍然可以使用之前的token自动登录,而无需重新输入用户名和密码。用户首次登录时,在服务端生成一个带过期时间的token,并将该token存储在客户端的cookie或localStorage中。3.在每次请求时携带token并进行验证。
利用Cookie实现十天免登录
10-03
该资源主要利用Cookie是由服务器端生成并储存在浏览器客户端上的数据。浏览器接收到来自服务器的Cookie数据之后默认将其保存在浏览器缓存中(如果浏览器关闭,缓存消失,Cookie数据...所以可以用来实现十天免登录功能
鉴权大全(cookie、session、tokenjwt、单点登录),深入理解和搞懂鉴权
qzwzsl的博客
07-18 1568
鉴权大全(cookie、session、tokenjwt、单点登录),深入理解和搞懂鉴权
写一段Java代码实现登录注册,要求基于ssm框架,要求实现十天免登录
08-09
为了实现十天免登录,我们可以在用户成功登录后,在Cookie中设置一个token,该token具有一定的时效性,比如设置为10天。在用户访问需要登录权限的接口时,后台首先检查Cookie中的token是否有效,如果有效则允许访问...
token在服务器端保存客户信息,教你如何利用Token实现分布式Session!
weixin_39560002的博客
08-12 1630
作者:享学课堂老顾一、前言这篇文章中我们来了解一下JWT是何方神圣?以及JWT实现分布式Session。二、JWT是什么JWT一看就是简称,它的全称JSON Web Token,从字面上我们看出1、数据是JSON格式2、用于Web应用3、是一个Token,也就是一个令牌方式看看官方的说明,它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象进行安全传输信息。这些信息可以通过对称/非对称方...
10天免登录操作,保存/取消cookie
qq_40330502的博客
01-28 652
设置10天免登录,保存cookie Cookie c1 = new Cookie("loginAct",loginAct); c1.setMaxAge(60*60*24*10); resp.addCookie(c1); Cookie c2 = new Cookie("loginPwd",loginPwd); c2.setMaxAge(60*60*2...
loadrunner 12 ---token、session 设置跳过登陆 & web_add_cookie()、web_add_auto_header()
m0_37791505的博客
01-16 2453
loadrunner 12 ---token、session 设置跳过登陆 & web_add_cookie()、web_add_auto_header()
php 三十天免登陆,在php中如何实现7天免登录功能
weixin_39894233的博客
03-20 293
所谓7天免登录,即用户在登录的时候选择了记住用户信息,后台会自动设置7天的有效时间,然后用户在7天内,在非正常退出(未清除cookie信息)情况下访问后台都不需要登录(后台帮助其登录)。免登录是利用cookie保存数据到浏览器端,并借助该cookie实现。登陆页面部分代码//表单内容用户名密码 7天内自动登录在用户登录验证的时候,判定用户是否选择了免登录,如果有,在用户登录成功后,将用户的id信...
使用cookie实现十天免登录功能以及基本的增删改查
maipianzu_的博客
04-28 2279
使用cookie实现十天免登录功能,使用session完成保持会话功能,通过mybatis进行sql操作完成增删改查
通过cookie实现免登录的两种方法
热门推荐
qq_37969201的博客
12-30 1万+
有两种通过cookie实现免登录的方法,我将以登录B站并进入“动态”页面为例分别演示这两种方法。 方法1:通过配置Chrom的options来实现  options.add_argument("--user-data-dir=C:/Users/Administrator/AppData/Local/Google/Chrome/User Data") 这种方法实际上是直接读取本地电脑上的用户数...
最新【机器学习】特征工程 - 字典特征提取_机器学习字典,2024年最新网络安全经典入门教程
2401_84301352的博客
05-14 917
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值