我想在我的jsp登录页面中实现一次登录或记住我。我使用基于容器的表单身份验证。我想我需要存储用户数据,例如userid和token--一种状态信息,用于确定用户是否已登录到cookie中。 我还听说即使加密也不应存储用户密码。
如果我存储了他们的密码和用户ID,我可以通过在向用户显示登录页面之前将数据提交给servlet来自动叹息。
如果我不存储密码,我可以使用哪种方法自动签名?
答案 0 :(得分:1)
我建议您不要为此创建自己的框架,而是使用类似spring-security或Apache Shiro的内容,因为应用程序的安全性非常重要,而不是您通常希望从头开始构建的内容
如果这纯粹是出于教育目的,我建议查看两个提到的应用程序的代码,看看它们是如何处理它的。
我已经看到这在cookie中实现为安全令牌(具有到期日期),其值也在一段时间内存储在服务器上并与特定用户帐户相关联。当用户返回带有该cookie的站点时,服务器会将它的令牌值与cookie的值进行比较,如果它们匹配(并且它没有过期)则让它们进入。
同样,最好使用预先存在且经过测试的库进行此类工作。
祝你好运。