jsp實現自動登入

來源:互聯網
上載者:User

一、什麼是使用者自動登入?

   對於我們的網站向登入使用者提供某些專門的服務,比如網上購物、線上下載、收費瀏覽等等,就會要求使用者在使用這些服務之前進入登入頁面,輸入使用者名稱和密碼,並進行驗證。

    如果使用者經常訪問我們的網站,假如每天都訪問一次,或者好幾次,那麼使用者每次都重複這些登入操作就會感到相當厭煩。通過一些簡單的技術手段,我們可以讓網站“記住”那些在曾經登入過的使用者。當該使用者下次再來訪問的時候,網站可以識別該使用者,並為其自動完成登入過程。

二、基本思路

   作為網站的編寫者,我們無從知道坐在電腦前的那個人是誰。我們能夠知道的是,訪問網站的是哪一台電腦——這一點可以通過Cookie實現。因此,對使用者的識別實際上就是對用戶端電腦的識別。

 

   簡單的說,當使用者第一次登入網站的時候,網站向用戶端發送一個包含有使用者名稱的Cookie。當使用者在之後的某個時候再次訪問,瀏覽器就會向網站伺服器回送這個Cookie,於是,我們可以從這個Cookie中讀取到使用者名稱,然後調用登入的方法,從而實現自動為使用者登入。

三、防止欺騙

   Cookie只是一個普通的文字檔,那裡麵包含的字串可以直接用記事本開啟並進行編輯。因此任何人在任何電腦上都可以偽造一個包含有他人使用者名稱 的 Cookie,從而實現對他人身份的冒用。要解決這個問題,就要在Cookie中附加一項資訊,這個資訊需要具有以下特性:1、和該使用者一一對應;2、偽 造難度大。這些內容和使用者名稱一起,以Cookie的形式發送給使用者的瀏覽器。並且,伺服器必須能夠記住這項內容,以便使用者再次訪問的時候進行核對。

   理論上,可以使用該使用者的密碼。密碼具備了前述的兩個特點。但是因為Cookie本身未經加密,儲存於其中的密碼(應該加密)可以被任何人看到,因此這個方法極不安全。

   另一種可以加以利用的資訊是使用者訪問時的Session id。因為Session id是一個由系統隨機產生的、無規律的、長度較長的字串,因此它很難被偽造。要把它和使用者對應起來,我們需要在資料庫中添加一個表,這個表至少有兩個字 段,一個是使用者名稱,一個是Session id。當使用者首次登入的時候,我們把當前的Session id和使用者名稱分別用Cookie發送給使用者,同時,把這兩項作為一條記錄插入資料庫。這樣,當使用者再次訪問的時候,伺服器就可以讀取用戶端發來的這兩個 Cookie,並且用它們的值和資料庫中的記錄比對。如果在資料庫中找到了相應記錄,就說明這台電腦的確是該使用者上次登入時使用的電腦,進而可以為該使用者自動登入。

四、實現

1、在登入頁面中添加一個複選框,讓使用者選擇是否願意在一定時間內實現自動登陸,例如兩周。

代碼:
<input type="checkbox" name="autologin">兩周內自動登入

2、在負責處理登入過程的Servlet中,判斷使用者是否選擇了該複選框。如果是,則執行這兩個操作:向使用者發送兩個Cookie,以及向資料庫寫入一條相應的記錄。

代碼:

Cookie ckUsername, ckSessionid;

if (autologin.equals("on")) {
   // 如果使用者選擇了“兩周內自動登入”,則向使用者發送兩個cookie。
   // 一個cookie記錄使用者名稱,另一個記錄唯一的驗證碼,
   // 並將此驗證碼寫入資料庫,以備使用者返回時查詢。(防止偽造cookie)
   ckUsername = new Cookie("autoLoginUser", user.getUsername()); // user是代表使用者的bean
   ckUsername.setMaxAge(60 * 60 * 24 * 14);   //設定Cookie有效期間為14天
   res.addCookie(ckUsername);

   sessionid = session.getId(); // 取得當前的session id
   ckSessionid = new Cookie("sessionid", sessionid);
   ckSessionid.setMaxAge(60 * 60 * 24 * 14);
   res.addCookie(ckSessionid);

   // 在資料庫中插入相應記錄
   userSessionDAO.insertUserSession(user, sessionid);
}

3、實現自動登入。因為使用者下次訪問的時候,可能直接存取網站的任何頁面(例如通過收藏夾),而不一定是首頁或者登入頁面,所以我們需要用Filter攔截到達該網站的所有請求,並執行自動登入。

public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws ServletException, IOException {
   HttpServletRequest request = (HttpServletRequest) req;
   HttpSession session = request.getSession(true);
   String username;
   String sessionid;   // 此sessionid是上次使用者登入時儲存於使用者端的識別碼,用於使用者後續訪問的自動登入。不是本次訪問的session id。
   Cookie[] cookies;
   CookieManager cm = new CookieManager(); // CookieManager是一個自訂的類,用於從Cookie數組中尋找並返回指定名稱的Cookie值。
   boolean isAutoLogin;

   // 如果session中沒有user對象,則建立一個。
   User user = (User) session.getAttribute("user");
   if (user == null) {
    user = new User(); // 此時user中的username屬性為"",表示使用者未登入。
   }

   // 如果user對象的username為"",表示使用者未登入。則執行自動登入過程。
   // 否則不自動登入。
   if (user.getUsername().equals("")) {
    // 檢查使用者瀏覽器是否發送了上次登入的使用者名稱和sessionid,
    // 如果是,則為使用者自動登陸。
    cookies = request.getCookies();
    username = cm.getCookieValue(cookies, "autoLoginUser");
    sessionid = cm.getCookieValue(cookies, "sessionid");
    isAutoLogin = userSessionDAO.getAutoLoginState(username, sessionid); // 如果在資料庫中找到了相應記錄,則說明可以自動登入。

    if (isAutoLogin) {
     user.setUsername(username);
     user.setNickname(DBUtil.getNickName(username));
     session.setAttribute("user", user); // 將user bean添加到session中。
    }
   }
   chain.doFilter(req, resp);
}

4、登出。只有當使用者在上次訪問時,未經登出就離開網站,我們才能在該使用者下次訪問時執行自動登入。如果使用者顯式的執行了登出操作,那就表示該使用者 不希望我們記住他。我們需要在執行登出操作的Servlet中,從資料庫中刪除相應記錄。這樣,下次使用者訪問的時候就不會執行自動登入了。

五、改進

使用者可能為了方便,自行修改Cookie中的有效期間,從而達到長期自動登入的目的。對某些存有敏感資訊的網站來說,這樣做並不安全。當使用者長時間沒有使用他的電腦,或者將電腦遺棄、轉讓了,而儲存於其中的Cookie仍然是有效,這就為使用者和網站帶來潛在的風險。

要解決這個問題,我們可以在資料庫中增加一個欄位,用以記錄自動登入的到期日。這樣,是否執行自動登入就不再以用戶端的Cookie有效期間為準,而 是以伺服器端資料庫中的資訊為準。當我們想要調整使用者自動登入的有效期間的時候,只需要修改資料庫中相應的日期欄位即可,因而這一過程變得更加安全。

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.