在JSF中“记住我”的Cookie
我有一个登录页面,我想添加“记住我”function; 因此,如果用户注销并再次打开该页面,则会加载其用户名和密码。 为此,当用户登录(并“选中”记住我“)时,我保存以下cookie:
FacesContext facesContext = FacesContext.getCurrentInstance(); Cookie userCookie = new Cookie("vtusername", username); userCookie.setMaxAge(3600); ((HttpServletResponse) facesContext.getExternalContext() .getResponse()).addCookie(userCookie); Cookie passCokie = new Cookie("vtpassword", password); passCokie.setMaxAge(3600); ((HttpServletResponse) facesContext.getExternalContext() .getResponse()).addCookie(passCokie); 问题是后来(在同一个会话中)我读了cookie,我看到maxAge = -1; 即使我把它设置为3600 ……为什么会这样? 另一个问题:如果我使用userCookie.setSecure(true)设置cookie安全,那么我无法读取它(它消失了)。
另一个问题:由于密码存储在cookie中,我应该加密一些如何? 什么是最佳做法?
提前致谢
问题是后来(在同一个会话中)我读了cookie,我看到maxAge = -1; 即使我把它设置为3600 ……为什么会这样?
因为浏览器没有发回maxage。 它只返回cookie name = value。 maxage仅存储在浏览器中。 您可以在webbrowser本身的cookie查看器/编辑器中进行检查。 例如,在Firefox中,您可以通过工具>选项>隐私>删除单个cookie来检查所有cookie 。 输入域(例如localhost)以查看cookie。
另一个问题:如果我使用userCookie.setSecure(true)设置cookie安全,那么我无法读取它(它消失了)。
它仅在通过HTTPS而不是HTTP提供请求/响应时才有效。 此外,当请求已通过HTTPS提供时,它将默认为secure = true。
另一个问题:由于密码存储在cookie中,我应该加密一些如何? 什么是最佳做法?
不要将原始名称/密码存储在两个cookie中。 除此之外,这可以很容易地只用一个cookie,这是一个非常糟糕的主意,很容易被破解。 使用具有自动生成的长,唯一且不可能猜测的值的单个cookie。 将此值与用户ID一起存储在服务器端的数据库中。 当有人使用此cookie访问您的站点,但用户尚未登录(即会话中没有User对象),则您可以进行自动登录。
也可以看看:
- 如何实施“保持登录状态”?
- 如何让用户登录?