使用Session和Cookie做登录验证

已于 2022-08-24 17:34:00 修改
阅读量1.4w 收藏 126
点赞数 32
分类专栏: Web 文章标签: java servlet 面试
于 2019-04-06 01:22:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010266988/article/details/89049016
版权

1 背景

    Cookie是保存在客户端、Session保存在服务端,两者都是用来校验用户登录状态的。因为http是无状态的,所以客户端每次向服务端发起请求的时候,服务端是不认识客户端的,那么为了搞清楚用户是否已登录,就要有一种机制来分辨不同的客户端。

区别:Session是服务端的东西,用户是看不到的;Cookie是客户端的东西,用户能看得到,但是不能跨域请求。

客户端第一次访问服务端时,服务端会生成一个sessionId并返回给客户端,客户端给保存到cookie中,按下F12打开开发者模式,看到请求头:Cookie:JSESSIONID=xxxxxxxxxxxxxxxxxxx  这一串就是服务端为请求生成的sessionId。

本文用到的代码托管在github:

(1)登录校验

https://github.com/hfutlilong/test/blob/master/src/main/java/filter/LoginFilter.java

https://github.com/hfutlilong/test/blob/master/src/main/java/controller/LoginController.java

https://github.com/hfutlilong/test/blob/master/src/main/java/controller/MainController.java

(2)各种JSP页面

https://github.com/hfutlilong/test/tree/master/web/WEB-INF/views

2 用Session校验用户登录状态

2.1 登录状态验证

    通过在session中设置属性“isLogin”来标识登录状态,登录的时候置为true、退出的时候置为false。

    用Filter过滤器来校验用户登录状态。过滤器是Servlet的,拦截器是Spring的,优先级的话过滤器要高于拦截器。实现Filter接口,重写doFilter()方法:

package filter;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;

public class LoginFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {}

    @Override
    public void destroy() {}

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        HttpSession session = req.getSession();

        String uri = req.getRequestURI();
        boolean isLoginReq = uri.matches("/user/.*\\.do");

        boolean isLogin = session.getAttribute("isLogin") != null
                && (boolean)session.getAttribute("isLogin");
        if (isLoginReq || isLogin) {
            chain.doFilter(request, response);
            return;
        }
        //跳转至登录页面
        res.sendRedirect("/user/login.do");
    }
}

然后配置在web.xml中:

<filter>
    <filter-name>loginFilter</filter-name>
    <filter-class>filter.LoginFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>loginFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

2.2 登录与退出

写一个处理登录、退出的Controler:
 

@Controller
@RequestMapping("/user")
public class LoginController {
    @Autowired
    private UserLoginService userLoginService;

    @RequestMapping("/login")
    public String login() {
        return "login";
    }

    @RequestMapping("/loginAction")
    public String loginAction(String username, String password, HttpServletRequest request, HttpServletResponse response) {
        UserLoginVO userLoginVO = userLoginService.queryUserByNamePwd(username, password);
        if (userLoginVO != null) {
            request.getSession().setAttribute("isLogin", true);
            return "welcome";
        }

        return "login";
    }

    @RequestMapping("/logout")
    public void logout(HttpServletRequest request, HttpServletResponse response) {
        request.getSession().removeAttribute("username");
        try {
            request.getSession().setAttribute("isLogin", false);
            response.sendRedirect("/user/login.do");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

2.3 业务代码

好吧,其实就是hello world:

@Controller
@RequestMapping
public class MainController {
    @RequestMapping(value = "/hello", method = RequestMethod.GET)
    public String hello(){
        return "hello";
    }
}

2.4 JSP页面

登录页面长这样子:

3 用Cookie校验用户状态

session保存在Map结构的内存中,默认的过期时间是30分种,那像有些网站可能关闭之后、过了几天再去打开也仍然不需要登录,这种其实就是用Cookie校验了,不然的话内存会撑爆的。

实现方式:在Cookie中增加"username"属性,如果访问的请求中,cookie包含该属性,那就认为是登录状态。

与上面类似,也是实现一个Filter接口、登录时保存Cookie、退出时清除Cookie,但是Cookie没有删除方法,所以需要设置Cookie有效期为0秒,即可删除。

3.1 过滤器:根据Cookie判断是否已登录

public void doFilter(ServletRequest request, ServletResponse response,
                     FilterChain chain) throws IOException, ServletException {
    HttpServletRequest req = (HttpServletRequest) request;
    HttpServletResponse res = (HttpServletResponse) response;

    String uri = req.getRequestURI();
    boolean isLoginReq = uri.matches("/user/.*\\.do");

    boolean isLogin = false;
    // 判断cookie是否有username,如果有代表登陆过
    Cookie[] cookies = req.getCookies();
    if (cookies != null) {
        for (Cookie cookie : cookies) {
            if (cookie != null && URLDecoder.decode(cookie.getName(), "utf-8").equals("username")) {
                isLogin = true;
                break;
            }
        }
    }

    if (isLoginReq || isLogin) {
        chain.doFilter(request, response);
        return;
    }
    //跳转至登录页面
    res.sendRedirect("/user/login.do");
}

3.2 登录与退出

实验中我们设置Cookie过期时间为60s,那么在登录后的1分钟内是可以正常执行业务接口的,但是超过了1分钟就要重新登录。

@Controller
@RequestMapping("/user")
public class LoginController {
    @Autowired
    private UserLoginService userLoginService;

    @RequestMapping("/login")
    public String login() {
        return "login";
    }

    @RequestMapping("/loginAction")
    public String loginAction(String username, String password, HttpServletRequest request, HttpServletResponse response) {
        UserLoginVO userLoginVO = userLoginService.queryUserByNamePwd(username, password);
        if (userLoginVO != null) {
            // 把用户名保存在Cookie里
            Cookie cookie = new Cookie("username", username);
            cookie.setMaxAge(60); // 单位:秒
            cookie.setPath("/");
            response.addCookie(cookie);

            return "welcome";
        }

        return "login";
    }

    @RequestMapping("/logout")
    public void logout(HttpServletRequest request, HttpServletResponse response) {
        request.getSession().removeAttribute("username");
        try {
            //把过期时间设置成0秒,表示删除该属性
            Cookie[] cookies = request.getCookies();
            if (cookies != null) {
                for (Cookie cookie : cookies) {
                    System.out.println(URLDecoder.decode(cookie.getName(), "utf-8"));
                    if (URLDecoder.decode(cookie.getName(), "utf-8").equals("username")) {
                        cookie.setMaxAge(0); // 删除cookie
                        cookie.setPath("/");
                        response.addCookie(cookie);
                    }
                }
            }
            response.sendRedirect("/user/login.do");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

登录后可以看到cookie中新增了username:

4 总结

  • session和cookie的作用:判断登录状态;
  • session保存在服务端,用户不可见,有效期可设置,默认30分钟;
  • cookie保存在客户端,用户可以看到;
  • session的生命周期是一个会话(从打开浏览器到关闭浏览器),cookie的生命周期根据设置的过期时间值,如果没设置过期时间,则不会保存在本地,在关闭浏览器后即失效。
一次编写 到处调试
关注
  • 32
    点赞
  • 126
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
jsp 用cookie记录上次登录时间_CookieSession
weixin_29168153的博客
12-25 422
我们都清楚HTTP协议中式没有记忆功能的,那么当同一个用户进行多次会话,同时也多次请求相同或不同的数据时,服务器不可能每一次都响应请求,因为这极其浪费效率。所以,采用会话跟踪就显得极为重要了,可以利用会话跟踪来确定是否是同一个用户,也可以用于区分用户的等级,也让请求不再重复响应。常见的会话跟踪技术就有“cookie”与sessionCookieHTTP作为一种无状态协议,服务器就不能单纯地识别访客...
设置SessionCookie
blackball1998的博客
05-20 509
设置SessionCookie 使用Spring MVC时,如果需要使用SessionCookie,可以通过Servlet原生api设置SessionCookie 设置Session 当我们需要保存Session时,如保存用户数据,只需要在请求处理方法的参数列表中添加一个HttpSession对象,然后调用对象的setAttribute方法和getAttribute方法,就可以轻松地设置和获取session @RestController public class MyController {
session验证用户是否登录.
热门推荐
weixin_799847245的博客
07-02 1万+
好久没有写了,今天分享一下登录验证 首先创建一个类继承Filter 下面是拦截器的代码 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.Servle...
Django笔记之session登录验证操作
wsnbb_2023的博客
08-21 301
django_session 表的单独获取查看操作一般在程序里不会出现,因为前后端都是通过 cookiesessionid 直接获取到对应的数据,但为了以防万一,或者你对这张表有一些兴趣,这里额外介绍一下如何单独操作这张表里的数据。然后通过 session_key 来获取这条数据,比如 session_key 为。
SpringBoot微信登录实现
最新发布
qq_42736179的博客
04-26 1249
sky:wechat:sky:wechat:sky:jwt:# 设置jwt签名加密时使用的秘钥# 设置jwt过期时间# 设置前端传递过来的令牌名称authentication是和前端商量好的,之后请求会携带的部分。
利用Session验证是否用户登录
08-14
利用Session验证用户登录,及Session的一些常见用法
基于Session进行登录校验
abc123mma的博客
10-23 2219
黑马点评项目,基于Session进行登录校验
session的工作原理,及session实现登录验证示例
世上哪有什么岁月静好,不过是有人替你负重前行
07-28 3362
服务器创建 Session: 服务器接收到请求后,如果该请求没有携带有效的 Session 标识(如 Session ID),服务器会为该用户创建一个新的 SessionSession 超时: 通常情况下,Session 有一个超时时间,即当用户在一段时间内没有发起新的请求时,服务器会自动删除该用户Session 数据,以释放服务器资源。服务器检索 Session 数据: 当服务器接收到客户端的请求时,会根据请求中的 Session ID 来检索对应的 Session 数据。
十四、Node.js 中 session验证登录
灵魂学者的博客
01-05 2075
cookie是存储在客户端的,而session是存储在服务器的,相比较session的安全性会更高,session对象存储特定用户会话所需要的属性以及配置信息,服务通过session对象将用户的信息临时保存在服务器中,客户无法进行修改,反观cookie是存储在客户端,用户可以进行伪造修改,所以使用session是比cookie更安全!
session实现用户验证登录
lyu2019的博客
05-18 4661
session实现用户验证登录
JavaWeb使用SessionCookie实现登录认证
08-31
使用 SessionCookie 实现登录认证可以提供一种安全的方式来验证用户登录状态。通过使用 SessionCookie,可以将用户登录状态存储在服务器端和客户端,使得用户可以安全地访问服务器上的资源。
PHP 实现超简单的SESSIONCOOKIE登录验证功能示例
10-15
在本文中,我们将深入探讨如何使用PHP实现基于SESSIONCOOKIE的简单登录验证功能。首先,我们需要理解这两个概念的基础知识。 **SESSION**: - SESSION 是一种服务器端存储机制,用于存储用户会话数据。当用户访问...
Springboot中登录后关于cookiesession拦截问题的案例分析
09-07
在Spring Boot应用中,登录验证通常涉及到CookieSession两种技术,它们都是用于用户身份验证和会话管理的重要手段。本文将深入探讨如何在Spring Boot中使用CookieSession进行登录后的拦截处理。 首先,简单介绍...
Django SessionCookie分别实现记住用户登录状态操作
09-16
在Web开发中,保持用户登录状态是一个常见的需求。在Django框架中,有两种主要方法可以实现这一功能:Django SessionCookie。...在Django中,结合使用CookieSession可以提供更好的用户体验和安全性。
php sessioncookie使用说明
12-18
PHP中的SessionCookie是两种常用的身份验证用户状态管理机制,它们各有特点,适用于不同的场景。 1. PHP的Cookie Cookie是一种在用户浏览器端存储数据的技术,用于跟踪和识别用户。当PHP应用需要设置Cookie时...
springboot拦截器 根据session判断是否登录
滕青山博客
01-26 5169
介绍 项目环境: springboot,通过session判断用户是否登录 需求:当用户访问每个需要登录才能访问的页面前,我们判断一下该用户是否已经登陆,也就是session是否存在user,如果没有登录也就是掉线状态下,那么重定向到/login登录页面。 代码 拦截器 LoginInterceptor @Component public class LoginInterceptor extends HandlerInterceptorAdapter { @Override public
关于服务器如何判别不同用户,以及判断用户登录状态执行相应功能
m0_73700925的博客
06-03 1041
关于服务器如何判断不同用户请求
Session验证用户登录的大致过程
weixin_34023982的博客
01-11 8500
2019独角兽企业重金招聘Python工程师标准>>> ...
03-session-案例:登陆验证用户名、密码、验证码)
记录java学习日常~
06-06 1343
【代码】03-session-案例:登陆验证用户名、密码、验证码)
sessioncookie使用
05-03
SessionCookie都是用于在Web应用程序中存储和跟踪用户信息的机制。 Cookie是一种在客户端存储数据的机制,它允许Web服务器在用户的浏览器中存储信息,并在需要时检索该信息。 Cookie通常用于存储用户登录信息,例如用户名和密码,以便在下一次访问网站时可以自动登录Cookie还可以用于跟踪用户的行为和偏好,以便网站可以根据这些信息提供个性化的体验。 Session是一种在服务器端存储数据的机制,它允许Web服务器在用户会话期间存储信息,并跟踪用户在该会话中的活动。 Session通常用于存储用户的身份验证状态、购物车信息、表单数据等。Session的好处是,它可以在服务器端存储数据,因此比Cookie更安全。 CookieSession的区别在于存储位置、存储内容和使用方式。Cookie存储在客户端,而Session存储在服务器端。Cookie存储的内容可以是任何字符串,而Session存储的内容通常是对象。Cookie使用方式是在需要时将其发送到服务器,而Session使用方式是在会话期间跟踪用户的活动。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值