我在一些网站上看到用户登录了他们的帐户,然后关闭了浏览器。
关闭并重新打开浏览器后,他们的帐户仍然已登录。
但是有些网站不能这样做。
我很困惑,它被认为是会话或cookie?
如果我希望我的网站能够像这样登录,我是否必须设置session.setMaxInactiveInterval()或cookie.setMaxAge()?
答案 0 :(得分:45)
*这个答案有严重的缺陷,请参阅评论。 *
您的问题是关于会话跟踪。
[第1部分]:会话对象
HTTP请求是单独处理的,因此为了在每个请求之间保留信息(例如,有关用户的信息),必须在服务器端创建会话对象。
有些网站根本不需要会话。用户无法修改任何内容的网站不必管理会话(例如,在线简历)。你不会在这样的网站上需要任何cookie或会话。
创建会话:
在servlet中,使用HttpServletRequest对象中的方法request.getSession(true)来创建一个新的HttpSession对象。请注意,如果您使用request.getSession(false),则会在尚未创建会话时返回 null 。 Look at this answer for more details
设置/获取属性:
会话的目的是在每个请求之间保留服务器端的信息。例如,保留用户名称:
session.setAttribute("name","MAGLEFF");
// Cast
String name = (String) session.getAttribute("name");
销毁会话:
如果保持非活动状态太长时间,会话将自动销毁。 Look at this answer for more details。但是,例如在注销操作的情况下,您可以手动强制销毁会话:
HttpSession session = request.getSession(true);
session.invalidate();
[第2部分]:所以......加入黑暗面,我们有COOKIES?
饼干来了。
JSESSIONID:
每次使用request.getSession()创建会话时,都会在用户的计算机上创建 JSESSIONID cookie 。为什么?因为在服务器端创建的每个会话都有一个ID。除非您没有合适的ID,否则您无法访问其他用户的会话。此ID保存在JSESSIONID cookie中,允许用户查找其信息。 Look at this answer for more details !
何时删除JSESSIONID?
JSESSIONID没有到期日期:它是会话Cookie 。作为所有会话cookie,它将在浏览器关闭时被删除。如果使用基本的JSESSIONID机制,则在关闭并重新打开浏览器后会话将无法访问,因为JSESSIONID cookie已被删除。
请注意,客户端无法访问会话,但仍在服务器端运行。设置 MaxInactiveInterval 允许服务器在会话长时间处于非活动状态时自动使会话无效。
邪恶破坏JSESSIONID
只是为了好玩,有一天我在项目中找到了这段代码。它用于通过使用javascript删除JSESSIONID cookie来使会话无效:
<SCRIPT language="JavaScript" type="text/javascript">
function delete_cookie( check_name ) {
// first we'll split this cookie up into name/value pairs
// note: document.cookie only returns name=value, not the other components
var a_all_cookies = document.cookie.split( ';' );
var a_temp_cookie = '';
var cookie_name = '';
var cookie_value = '';
var b_cookie_found = false; // set boolean t/f default f
// var check_name = 'JSESSIONID';
var path = null;
for ( i = 0; i < a_all_cookies.length; i++ )
{
// now we'll split apart each name=value pair
a_temp_cookie = a_all_cookies[i].split( '=' );
// and trim left/right whitespace while we're at it
cookie_name = a_temp_cookie[0].replace(/^\s+|\s+$/g, '');
// alert (cookie_name);
// if the extracted name matches passed check_name
if ( cookie_name.indexOf(check_name) > -1 )
{
b_cookie_found = true;
// we need to handle case where cookie has no value but exists (no = sign, that is):
if ( a_temp_cookie.length > 1 )
{
cookie_value = unescape( a_temp_cookie[1].replace(/^\s+|\s+$/g, '') );
document.cookie = cookie_name + "=" + cookie_value +
";path=/" +
";expires=Thu, 01-Jan-1970 00:00:01 GMT";
// alert("cookie deleted " + cookie_name);
}
}
a_temp_cookie = null;
cookie_name = '';
}
return true;
}
// DESTROY
delete_cookie("JSESSIONID");
</SCRIPT>
Give another look to this answer。使用JavaScript,可以读取,修改JSESSIONID,使其会话丢失或被劫持。
[第3部分]:关闭浏览器后保持会议
关闭并重新打开浏览器后,他们的帐户仍然存在 登录。 但有些网站,不能这样做。 我很困惑,它被认为是会话或cookie?
它的cookie。
我们看到,当Web浏览器删除了JSESSIONID会话cookie时,服务器端的会话对象将丢失。没有正确的ID,无法再次访问它。
如果我想让我的网站像这样登录,我是否必须设置 session.setMaxInactiveInterval()或cookie.setMaxAge()?
我们还看到session.setMaxInactiveInterval()是为了防止无限期地运行丢失的会话。 JSESSIONID cookie cookie.setMaxAge()也不会让我们到任何地方。
将持久性Cookie与会话ID:
一起使用在阅读以下主题后,我找到了这个解决方案:
主要思想是在Map中注册用户会话,放入servlet上下文。每次创建会话时,都会将其添加到具有键的JSESSIONID值的Map中;还会创建一个持久性cookie来记忆JSESSIONID值,以便在JSESSIONID cookie被销毁后找到会话。
关闭Web浏览器时,JSESSIONID将被销毁。但是所有HttpSession对象地址都保存在服务器端的Map中,您可以使用保存在持久cookie中的值访问正确的会话。
首先,在web.xml部署描述符中添加两个侦听器。
<listener>
<listener-class>
fr.hbonjour.strutsapp.listeners.CustomServletContextListener
</listener-class>
</listener>
<listener>
<listener-class>
fr.hbonjour.strutsapp.listeners.CustomHttpSessionListener
</listener-class>
</listener>
CustomServletContextListener在上下文初始化时创建一个映射。此映射将注册用户在此应用程序上创建的所有会话。
/**
* Instanciates a HashMap for holding references to session objects, and
* binds it to context scope.
* Also instanciates the mock database (UserDB) and binds it to
* context scope.
* @author Ben Souther; ben@souther.us
* @since Sun May 8 18:57:10 EDT 2005
*/
public class CustomServletContextListener implements ServletContextListener{
public void contextInitialized(ServletContextEvent event){
ServletContext context = event.getServletContext();
//
// instanciate a map to store references to all the active
// sessions and bind it to context scope.
//
HashMap activeUsers = new HashMap();
context.setAttribute("activeUsers", activeUsers);
}
/**
* Needed for the ServletContextListener interface.
*/
public void contextDestroyed(ServletContextEvent event){
// To overcome the problem with losing the session references
// during server restarts, put code here to serialize the
// activeUsers HashMap. Then put code in the contextInitialized
// method that reads and reloads it if it exists...
}
}
CustomHttpSessionListener会在创建会话时将会话放入activeUsers地图。
/**
* Listens for session events and adds or removes references to
* to the context scoped HashMap accordingly.
* @author Ben Souther; ben@souther.us
* @since Sun May 8 18:57:10 EDT 2005
*/
public class CustomHttpSessionListener implements HttpSessionListener{
public void init(ServletConfig config){
}
/**
* Adds sessions to the context scoped HashMap when they begin.
*/
public void sessionCreated(HttpSessionEvent event){
HttpSession session = event.getSession();
ServletContext context = session.getServletContext();
HashMap<String, HttpSession> activeUsers = (HashMap<String, HttpSession>) context.getAttribute("activeUsers");
activeUsers.put(session.getId(), session);
context.setAttribute("activeUsers", activeUsers);
}
/**
* Removes sessions from the context scoped HashMap when they expire
* or are invalidated.
*/
public void sessionDestroyed(HttpSessionEvent event){
HttpSession session = event.getSession();
ServletContext context = session.getServletContext();
HashMap<String, HttpSession> activeUsers = (HashMap<String, HttpSession>)context.getAttribute("activeUsers");
activeUsers.remove(session.getId());
}
}
使用基本表单按名称/密码测试用户身份验证。此login.jsp表单仅供测试。
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title><bean:message key="formulaire1Title" /></title>
</head>
<body>
<form action="login.go" method="get">
<input type="text" name="username" />
<input type="password" name="password" />
<input type="submit" />
</form>
</body>
</html>
我们走了。当用户不在会话中时,此java servlet将转发到登录页面,而当用户不在时,则转发到另一个页面。它仅用于测试持久会话!
public class Servlet2 extends AbstractServlet {
@Override
protected void doGet(HttpServletRequest pRequest,
HttpServletResponse pResponse) throws IOException, ServletException {
String username = (String) pRequest.getParameter("username");
String password = (String) pRequest.getParameter("password");
// Session Object
HttpSession l_session = null;
String l_sessionCookieId = getCookieValue(pRequest, "JSESSIONID");
String l_persistentCookieId = getCookieValue(pRequest, "MY_SESSION_COOKIE");
// If a session cookie has been created
if (l_sessionCookieId != null)
{
// If there isn't already a persistent session cookie
if (l_persistentCookieId == null)
{
addCookie(pResponse, "MY_SESSION_COOKIE", l_sessionCookieId, 1800);
}
}
// If a persistent session cookie has been created
if (l_persistentCookieId != null)
{
HashMap<String, HttpSession> l_activeUsers = (HashMap<String, HttpSession>) pRequest.getServletContext().getAttribute("activeUsers");
// Get the existing session
l_session = l_activeUsers.get(l_persistentCookieId);
}
// Otherwise a session has not been created
if (l_session == null)
{
// Create a new session
l_session = pRequest.getSession();
}
//If the user info is in session, move forward to another page
String forward = "/pages/displayUserInfo.jsp";
//Get the user
User user = (User) l_session.getAttribute("user");
//If there's no user
if (user == null)
{
// Put the user in session
if (username != null && password != null)
{
l_session.setAttribute("user", new User(username, password));
}
// Ask again for proper login
else
{
forward = "/pages/login.jsp";
}
}
//Forward
this.getServletContext().getRequestDispatcher(forward).forward( pRequest, pResponse );
}
MY_SESSION_COOKIE cookie将保存JSESSIONID cookie的值。当JSESSIONID cookie被销毁时,MY_SESSION_COOKIE仍然存在会话ID。
JSESSIONID已经不再使用Web浏览器会话,但我们选择使用持久且简单的cookie,以及放入应用程序上下文的所有活动会话的映射。持久性cookie允许我们在地图中找到正确的会话。
不要忘记BalusC制作的添加/删除/删除Cookie的有用方法:
/**
*
* @author BalusC
*/
public static String getCookieValue(HttpServletRequest request, String name) {
Cookie[] cookies = request.getCookies();
if (cookies != null) {
for (Cookie cookie : cookies) {
if (name.equals(cookie.getName())) {
return cookie.getValue();
}
}
}
return null;
}
/**
*
* @author BalusC
*/
public static void addCookie(HttpServletResponse response, String name, String value, int maxAge) {
Cookie cookie = new Cookie(name, value);
cookie.setPath("/");
cookie.setMaxAge(maxAge);
response.addCookie(cookie);
}
/**
*
* @author BalusC
*/
public static void removeCookie(HttpServletResponse response, String name) {
addCookie(response, name, null, 0);
}
}
最后一个解决方案在localhost上使用glassfish进行测试,在Windows上使用chrome for webbrowser进行测试。它只依赖于一个cookie,而且您不需要数据库。但实际上,我不知道这种机制的限制是什么。我只花了一夜的时间来解决这个问题,而不知道它是好还是坏。
<强>感谢
我还在学习,请告诉我答案中是否有任何错误。谢谢,@ +
答案 1 :(得分:11)
正确的答案有很多缺陷,请参阅我的评论。事情实际上更容易。您将需要一个持久性数据存储(例如SQL数据库)。您也可以使用ServletContext,但在重新启动服务器或重新部署应用程序后,用户将被注销。如果您在HashMap中使用ServletContext,请不要忘记正确同步,因为它可能会从更多线程同时访问。
不要破解服务器的会话及其ID,它不在您的控制之下,如果在服务器到期原始会话后出现带有JSESSIONID的请求,则某些服务器会更改会话ID。滚动你自己的cookie。
基本上你需要:
javax.servlet.Filter来检查登录过滤器实现可能如下所示:
public class LoginFilter implements Filter {
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse resp = (HttpServletResponse) response;
// Java 1.8 stream API used here
Cookie loginCookie = Arrays.stream(req.getCookies()).filter(c -> c.getName()
.equals("MY_SESSION_COOKIE")).findAny().orElse(null);
// if we don't have the user already in session, check our cookie MY_SESSION_COOKIE
if (req.getSession().getAttribute("currentUser") == null) {
// if the cookie is not present, add it
if (loginCookie == null) {
loginCookie = new Cookie("MY_SESSION_COOKIE", UUID.randomUUID().toString());
// Store that cookie only for our app. You can store it under "/",
// if you wish to cover all webapps on the server, but the same datastore
// needs to be available for all webapps.
loginCookie.setPath(req.getContextPath());
loginCookie.setMaxAge(DAYS.toSeconds(1)); // valid for one day, choose your value
resp.addCookie(loginCookie);
}
// if we have our cookie, check it
else {
String userId = datastore.getLoggedUserForToken(loginCookie.getValue());
// the datastore returned null, if it does not know the token, or
// if the token is expired
req.getSession().setAttribute("currentUser", userId);
}
}
else {
if (loginCookie != null)
datastore.updateTokenLastActivity(loginCookie.getValue());
}
// if we still don't have the userId, forward to login
if (req.getSession().getAttribute("currentUser") == null)
resp.sendRedirect("login.jsp");
// else return the requested resource
else
chain.doFilter(request, response);
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void destroy() {
}
}
用户登录后,您应该将MY_SEESSION_COOKIE的值与userId一起添加到数据存储区,并在注销时将其删除。您还必须将过期日期存储到数据存储区并在接受令牌之前进行检查,您不能依赖浏览器来遵守maxAge属性。
不要忘记添加一些数据存储区清理,以防止优秀的cookie永远挂起。
上面的代码在现实生活中没有经过测试,可能会有一些怪癖,但基本的想法应该有效。它至少比公认的解决方案好很多。