我有一个登录页面,我想添加"记住我"功能; 这样,如果用户注销并再次打开页面,则会加载他的用户名和密码.为此,当用户登录(并"选中"记住我")时,我保存以下cookie:
FacesContext facesContext = FacesContext.getCurrentInstance();
Cookie userCookie = new Cookie("vtusername", username);
userCookie.setMaxAge(3600);
((HttpServletResponse) facesContext.getExternalContext()
.getResponse()).addCookie(userCookie);
Cookie passCokie = new Cookie("vtpassword", password);
passCokie.setMaxAge(3600);
((HttpServletResponse) facesContext.getExternalContext()
.getResponse()).addCookie(passCokie);
问题是后来(在同一个会话中)我读了cookie,我看到maxAge = -1; 即使我把它设置为3600 ......为什么?另一个问题:如果我使用userCookie.setSecure(true)设置cookie安全,那么我无法读取它(它消失了).
另一个问题:由于密码存储在cookie中,我应该如何对其进行加密?什么是最佳做法?
提前致谢
问题是后来(在同一个会话中)我读了cookie,我看到maxAge = -1; 即使我把它设置为3600 ......为什么?
因为浏览器不会发回maxage.它只返回cookie name = value.maxage仅存储在浏览器中.您可以在webbrowser本身的cookie查看器/编辑器中进行检查.例如,在Firefox中,您可以通过工具>选项>隐私>删除单个cookie来检查所有cookie.输入域(例如localhost)以查看cookie.
另一个问题:如果我使用userCookie.setSecure(true)设置cookie安全,那么我无法读取它(它消失了).
它仅在通过HTTPS而不是HTTP提供请求/响应时有效.此外,当请求已通过HTTPS提供时,它将默认为secure = true.
另一个问题:由于密码存储在cookie中,我应该如何对其进行加密?什么是最佳做法?
不要将原始名称/密码存储在两个cookie中.除此之外,这可以很容易地只用一个cookie,这是一个非常糟糕的主意,很容易被破解.使用具有自动生成的长,唯一且不可能猜测的值的单个cookie.将此值与用户ID一起存储在服务器端的数据库中.当有人使用此cookie访问您的站点,但用户尚未登录(即User会话中没有对象),则您可以进行自动登录.