我想在jsp登录页面中实现保持登录或记住我。我正在使用基于容器的表单身份验证。我想我需要我必须将用户的数据,如userid和token,这是一种状态信息,用于确定用户是否登录到cookie中。我还听说我们不应该存储用户的密码,即使它是加密的。
如果我存储了他们的密码和userid,在向用户显示登录页面之前,我可以通过将数据提交到servlet来自动通知他们。
如果我不存储他们的密码,我可以使用什么方法自动登录他们?
我建议您不要为此创建自己的框架,而是使用类似spring security或Apache Shiro的东西,因为应用程序的安全性非常重要,而不是您通常想要从头开始构建的东西。
如果这纯粹是出于教育目的,我建议查看上述两个应用程序的代码,看看它们是如何处理的
我看到这是作为cookie中的一个安全令牌实现的(带有到期日期),其值也会在服务器上存储一段时间,并与特定的用户帐户相关联。当用户带着该cookie返回网站时,服务器会将其令牌值与cookie的令牌值进行比较,如果匹配(并且未过期),则允许它们进入。
同样,对于这类工作,最好使用预先存在并经过测试的库。
祝你好运。