jsp實現自動登入

一、什麼是使用者自動登入？    對於我們的網站向登入使用者提供某些專門的服務，比如網上購物、線上下載、收費瀏覽等等，就會要求使用者在使用這些服務之前進入登入頁面，輸入使用者名稱和密碼，並進行驗證。     如果使用者經常訪問我們的網站，假如每天都訪問一次，或者好幾次，那麼使用者每次都重複這些登入操作就會感到相當厭煩。通過一些簡單的技術手段，我們可以讓網站“記住”那些在曾經登入過的使用者。當該使用者下次再來訪問的時候，網站可以識別該使用者，並為其自動完成登入過程。 二、基本思路    作為網站的編寫者，我們無從知道坐在電腦前的那個人是誰。我們能夠知道的是，訪問網站的是哪一台電腦——這一點可以通過Cookie實現。因此，對使用者的識別實際上就是對用戶端電腦的識別。      簡單的說，當使用者第一次登入網站的時候，網站向用戶端發送一個包含有使用者名稱的Cookie。當使用者在之後的某個時候再次訪問，瀏覽器就會向網站伺服器回送這個Cookie，於是，我們可以從這個Cookie中讀取到使用者名稱，然後調用登入的方法，從而實現自動為使用者登入。 三、防止欺騙    Cookie只是一個普通的文字檔，那裡麵包含的字串可以直接用記事本開啟並進行編輯。因此任何人在任何電腦上都可以偽造一個包含有他人使用者名稱 的 Cookie，從而實現對他人身份的冒用。要解決這個問題，就要在Cookie中附加一項資訊，這個資訊需要具有以下特性：1、和該使用者一一對應；2、偽 造難度大。這些內容和使用者名稱一起，以Cookie的形式發送給使用者的瀏覽器。並且，伺服器必須能夠記住這項內容，以便使用者再次訪問的時候進行核對。    理論上，可以使用該使用者的密碼。密碼具備了前述的兩個特點。但是因為Cookie本身未經加密，儲存於其中的密碼（應該加密）可以被任何人看到，因此這個方法極不安全。    另一種可以加以利用的資訊是使用者訪問時的Session id。因為Session id是一個由系統隨機產生的、無規律的、長度較長的字串，因此它很難被偽造。要把它和使用者對應起來，我們需要在資料庫中添加一個表，這個表至少有兩個字 段，一個是使用者名稱，一個是Session id。當使用者首次登入的時候，我們把當前的Session id和使用者名稱分別用Cookie發送給使用者，同時，把這兩項作為一條記錄插入資料庫。這樣，當使用者再次訪問的時候，伺服器就可以讀取用戶端發來的這兩個 Cookie，並且用它們的值和資料庫中的記錄比對。如果在資料庫中找到了相應記錄，就說明這台電腦的確是該使用者上次登入時使用的電腦，進而可以為該使用者自動登入。 四、實現 1、在登入頁面中添加一個複選框，讓使用者選擇是否願意在一定時間內實現自動登陸，例如兩周。 代碼： <input type="checkbox" name="autologin">兩周內自動登入 2、在負責處理登入過程的Servlet中，判斷使用者是否選擇了該複選框。如果是，則執行這兩個操作：向使用者發送兩個Cookie，以及向資料庫寫入一條相應的記錄。 代碼： Cookie ckUsername, ckSessionid; if (autologin.equals("on")) {    // 如果使用者選擇了“兩周內自動登入”，則向使用者發送兩個cookie。    // 一個cookie記錄使用者名稱，另一個記錄唯一的驗證碼，    // 並將此驗證碼寫入資料庫，以備使用者返回時查詢。(防止偽造cookie)    ckUsername = new Cookie("autoLoginUser", user.getUsername()); // user是代表使用者的bean    ckUsername.setMaxAge(60 * 60 * 24 * 14);   //設定Cookie有效期間為14天    res.addCookie(ckUsername);    sessionid = session.getId(); // 取得當前的session id    ckSessionid = new Cookie("sessionid", sessionid);    ckSessionid.setMaxAge(60 * 60 * 24 * 14);    res.addCookie(ckSessionid);    // 在資料庫中插入相應記錄    userSessionDAO.insertUserSession(user, sessionid); } 3、實現自動登入。因為使用者下次訪問的時候，可能直接存取網站的任何頁面（例如通過收藏夾），而不一定是首頁或者登入頁面，所以我們需要用Filter攔截到達該網站的所有請求，並執行自動登入。 public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws ServletException, IOException {    HttpServletRequest request = (HttpServletRequest) req;    HttpSession session = request.getSession(true);    String username;    String sessionid;   // 此sessionid是上次使用者登入時儲存於使用者端的識別碼，用於使用者後續訪問的自動登入。不是本次訪問的session id。    Cookie[] cookies;    CookieManager cm = new CookieManager(); // CookieManager是一個自訂的類，用於從Cookie數組中尋找並返回指定名稱的Cookie值。    boolean isAutoLogin;    // 如果session中沒有user對象，則建立一個。    User user = (User) session.getAttribute("user");    if (user == null) {     user = new User(); // 此時user中的username屬性為""，表示使用者未登入。    }    // 如果user對象的username為""，表示使用者未登入。則執行自動登入過程。    // 否則不自動登入。    if (user.getUsername().equals("")) {     // 檢查使用者瀏覽器是否發送了上次登入的使用者名稱和sessionid，     // 如果是，則為使用者自動登陸。     cookies = request.getCookies();     username = cm.getCookieValue(cookies, "autoLoginUser");     sessionid = cm.getCookieValue(cookies, "sessionid");     isAutoLogin = userSessionDAO.getAutoLoginState(username, sessionid); // 如果在資料庫中找到了相應記錄，則說明可以自動登入。     if (isAutoLogin) {      user.setUsername(username);      user.setNickname(DBUtil.getNickName(username));      session.setAttribute("user", user); // 將user bean添加到session中。     }    }    chain.doFilter(req, resp); } 4、登出。只有當使用者在上次訪問時，未經登出就離開網站，我們才能在該使用者下次訪問時執行自動登入。如果使用者顯式的執行了登出操作，那就表示該使用者 不希望我們記住他。我們需要在執行登出操作的Servlet中，從資料庫中刪除相應記錄。這樣，下次使用者訪問的時候就不會執行自動登入了。 五、改進 使用者可能為了方便，自行修改Cookie中的有效期間，從而達到長期自動登入的目的。對某些存有敏感資訊的網站來說，這樣做並不安全。當使用者長時間沒有使用他的電腦，或者將電腦遺棄、轉讓了，而儲存於其中的Cookie仍然是有效，這就為使用者和網站帶來潛在的風險。 要解決這個問題，我們可以在資料庫中增加一個欄位，用以記錄自動登入的到期日。這樣，是否執行自動登入就不再以用戶端的Cookie有效期間為準，而 是以伺服器端資料庫中的資訊為準。當我們想要調整使用者自動登入的有效期間的時候，只需要修改資料庫中相應的日期欄位即可，因而這一過程變得更加安全。