我需要在带有cookie的java servlet中实现一个简单的记住我的选项,而不需要使用任何高级框架。
首先,在登录时,我创建cookie并将其作为响应发送给浏览器(客户机)。要存储在cookie中的值只是用户名+密码的简单散列。
我应该如何管理来自浏览器的传入请求,发送cookie?我的方法是检查注册用户之间是否有任何用户从用户名+密码的哈希等于cookie中的值?这种方法正确吗?
另外,我也不太明白有效期的确切机制是什么。浏览器是否会在cookie过期时删除该cookie,而不是,如何检查该cookie是否过期?
只要你不使用HTTPS,你建议的方法是高度不安全的。我建议生成某种会话令牌(例如使用java.util.UUID.randomUUID())并将其设置为cookie并将其存储在服务器端的某个地方,以便您以后可以在cookie中识别与此会话id相关的用户。
如果您认为存在欺诈行为,并且用户名/密码与您使用的cookie id之间没有直接关系,则可以重置某个会话cookie。但注意:这种方法仍然容易受到中间人攻击。
关于过期:是cookie失效,过期后可能会被浏览器删除。但是你可以将cookie设置为3000年的某个年份,这样它就永远存在了。