`
stonejava
  • 浏览: 77834 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

Java安全有效的实现两星期内自动登陆功能

阅读更多

现在很多网站都有为用户保存登陆信息(即保存Cookie)的功能,当用户下一次进入网站时,可以帮助用户自动登陆,使网站显得更加友好。笔者通过研究ACEGI项目的自动登陆源码,编写了一个安全有效的实现两星期自动登陆功能的JAVA工具类,下面是具体的实现流程和实现代码。

  先说一下流程:

  1.保存用户信息阶段:

  当用户登陆网站时,在登陆页面填写完用户名和密码后,如果用户在提交时还选择了“两星期内自动登陆”复选框,那么在后台程序中验证用户名和密码全都正确后,还要为用户保存这些信息,以便用户下一次可以直接进入网站;如果用户没有勾选“两星期内自动登陆”复选框,则不必为用户保存信息,那么用户在下一次登陆网站时仍需要填写用户名和密码。

  在保存用户信息阶段,主要的工作是对用户的信息进行加密并保存到客户端。加密用户的信息是较为繁琐的,大致上可分为以下几个步聚:

   ① 得到用户名、经MD5加密后的用户密码、cookie有效时间(本文设置的是两星期,可根据自己需要修改)
   ② 自定义的一个webKey,这个Key是我们为自己的网站定义的一个字符串常量,这个可根据自己需要随意设置
   ③ 将上两步得到的四个值得新连接成一个新的字符串,再进行MD5加密,这样就得到了一个MD5明文字符串
   ④ 将用户名、cookie有效时间、MD5明文字符串使用“:”间隔连接起来,再对这个连接后的新字符串进行Base64编码
   ⑤ 设置一个cookieName,将cookieName和上一步产生的Base64编码写入到客户端。

  2.读取用户信息:

  其实弄明白了保存原理,读取及校验原理就很容易做了。读取和检验可以分为下面几个步骤:

   ① 根据设置的cookieName,得到cookieValue,如果值为空,就不帮用户进行自动登陆;否则执行读取方法
   ② 将cookieValue进行Base64解码,将取得的字符串以split(“:”)进行拆分,得到一个String数组cookieValues(此操作与保存阶段的第4步正好相反),这一步将得到三个值:

cookieValues[0] ---- 用户名
cookieValues[1] ---- cookie有效时间
cookieValues[2] ---- MD5明文字符串

   ③ 判断cookieValues的长度是否为3,如果不为3则进行错误处理。
   ④ 如果长度等于3,取出第二个,即cookieValues[1],此时将会得到有效时间(long型),将有效时间与服务器系统当前时间比较,如果小于当前时间,则说明cookie过期,进行错误处理。
   ⑤ 如果cookie没有过期,就取cookieValues[0],这样就可以得到用户名了,然后去数据库按用户名查找用户。
   ⑥ 如果上一步返回为空,进行错误处理。如果不为空,那么将会得到一个已经封装好用户信息的User实例对象user
   ⑦ 取出实例对象user的用户名、密码、cookie有效时间(即cookieValues[1])、webKey,然后将四个值连接起来,然后进行MD5加密,这样做也会得到一个MD5明文字符串(此操作与保存阶段的第3步类似)
   ⑧ 将上一步得到MD5明文与cookieValues[2]进行equals比较,如果是false,进行错误处理;如果是true,则将user对象添加到session中,帮助用户完成自动登陆

  完整的代码,用途请参见注释

CookieUtil.java

处理cookie的工具类,包括读取,保存,清除三个主要方法。

 

package cn.itcast.util;

import java.io.IOException;
import java.io.PrintWriter;
import java.io.UnsupportedEncodingException;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import cn.itcast.bean.User;
import cn.itcast.dao.UserDAO;
import cn.itcast.factory.DaoImplFactory;
import com.sun.org.apache.xerces.internal.impl.dv.util.Base64;


/*

* 2007.09.21 by lyhapple

* */
public class CookieUtil {
//保存cookie时的cookieName
private final static String cookieDomainName = “cn.itcast”;
//加密cookie时的网站自定码
private final static String webKey = “itcast”;
//设置cookie有效期是两个星期,根据需要自定义
private final static long cookieMaxAge = 60 * 60 * 24 * 7 * 2;
//保存Cookie到客户端--------------------------------------------------------------------------------------------------------
//在CheckLogonServlet.java中被调用
//传递进来的user对象中封装了在登陆时填写的用户名与密码
public static void saveCookie(User user, HttpServletResponse response) {

//cookie的有效期
long validTime = System.currentTimeMillis() + (cookieMaxAge * 1000);
//MD5加密用户详细信息
String cookieValueWithMd5 =getMD5(user.getUserName() + ":" + user.getPassword()+ ":" + validTime + ":" + webKey);
//将要被保存的完整的Cookie值
String cookieValue = user.getUserName() + ":" + validTime + ":" + cookieValueWithMd5;
//再一次对Cookie的值进行BASE64编码
String cookieValueBase64 = new String(Base64.encode(cookieValue.getBytes()));
//开始保存Cookie
Cookie cookie = new Cookie(cookieDomainName, cookieValueBase64);

//存两年(这个值应该大于或等于validTime)
cookie.setMaxAge(60 * 60 * 24 * 365 * 2);
//cookie有效路径是网站根目录
cookie.setPath("/");
//向客户端写入
response.addCookie(cookie);

}

//读取Cookie,自动完成登陆操作--------------------------------------------------------------------------------------------

//在Filter程序中调用该方法,见AutoLogonFilter.java
public static void readCookieAndLogon(HttpServletRequest request, HttpServletResponse response,
FilterChain chain) throws IOException, ServletException,UnsupportedEncodingException{
//根据cookieName取cookieValue
Cookie cookies[] = request.getCookies();
String cookieValue = null;
if(cookies!=null){
for(int i=0; i<cookies.length; i++){
if (cookieDomainName.equals(cookies[i].getName())) {
cookieValue = cookies[i].getValue();
break;
}
}
}


//如果cookieValue为空,返回,

if(cookieValue==null){

return;

}

//如果cookieValue不为空,才执行下面的代码

//先得到的CookieValue进行Base64解码

String cookieValueAfterDecode = new String (Base64.decode(cookieValue),"utf-8");

//对解码后的值进行分拆,得到一个数组,如果数组长度不为3,就是非法登陆
String cookieValues[] = cookieValueAfterDecode.split(":");
if(cookieValues.length!=3){
response.setContentType("text/html; charset=utf-8");
PrintWriter out = response.getWriter();
out.println("你正在用非正常方式进入本站...");
out.close();
return;
}
//判断是否在有效期内,过期就删除Cookie
long validTimeInCookie = new Long(cookieValues[1]);
if(validTimeInCookie < System.currentTimeMillis()){
//删除Cookie
clearCookie(response);
response.setContentType("text/html; charset=utf-8");
PrintWriter out = response.getWriter();
out.println("<a href=’logon.jsp’>你的Cookie已经失效,请重新登陆</a>");
out.close();
return;
}

//取出cookie中的用户名,并到数据库中检查这个用户名,
String username = cookieValues[0];
//根据用户名到数据库中检查用户是否存在
UserDAO ud = DaoImplFactory.getInstance();

User user = ud.selectUserByUsername(username);

//如果user返回不为空,就取出密码,使用用户名+密码+有效时间+ webSiteKey进行MD5加密
if(user!=null){
String md5ValueInCookie = cookieValues[2];
String md5ValueFromUser =getMD5(user.getUserName() + ":" + user.getPassword()+ ":" + validTimeInCookie + ":" + webKey);
//将结果与Cookie中的MD5码相比较,如果相同,写入Session,自动登陆成功,并继续用户请求
if(md5ValueFromUser.equals(md5ValueInCookie)){
HttpSession session = request.getSession(true);
session.setAttribute("user", user);
chain.doFilter(request, response);
}
}else{
//返回为空执行
response.setContentType("text/html; charset=utf-8");
PrintWriter out = response.getWriter();
out.println("cookie验证错误!");
out.close();
return;
}
}
//用户注销时,清除Cookie,在需要时可随时调用------------------------------------------------------------
public static void clearCookie( HttpServletResponse response){
Cookie cookie = new Cookie(cookieDomainName, null);
cookie.setMaxAge(0);
cookie.setPath("/");
response.addCookie(cookie);
}
//获取Cookie组合字符串的MD5码的字符串----------------------------------------------------------------------------
public static String getMD5(String value) {
String result = null;
try{
byte[] valueByte = value.getBytes();
MessageDigest md = MessageDigest.getInstance("MD5");
md.update(valueByte);
result = toHex(md.digest());
} catch (NoSuchAlgorithmException e2){
e1.printStackTrace();
}
return result;
}

//将传递进来的字节数组转换成十六进制的字符串形式并返回

private static String toHex(byte[] buffer){
StringBuffer sb = new StringBuffer(buffer.length * 2);
for (int i = 0; i < buffer.length; i++){
sb.append(Character.forDigit((buffer[i] & 0xf0) >> 4, 16));
sb.append(Character.forDigit(buffer[i] & 0x0f, 16));
}
return sb.toString();
}
}

下面的是对CookieUtil工具类各方法的调用演示:

User.java

封装用户信息的JavaBean对象模型
package com.itcast.bean;
public class User {
private int id;
private String userName;
private String password;
public String getPassword() {

return password;

}
public void setPassword(String password) {

this.password = password;

}

public String getUserName() {

return userName;

}

public void setUserName(String userName) {

this.userName = userName;

}

public int getId() {

return id;

}

public void setId(int id) {

this.id = id;

}

}

AutoLogonFilter.java

过滤器程序,可在WEB-INF/web.xml中设置过滤规则,本文对过滤规则不作介绍,此程序主要作用是检查用户在上一次登陆时是否保存了Cookie,如果保存了,就处理Cookie信息,并帮助用户自动登陆

本程序主要调用了CookieUtil.java中的读取与自动登陆方法,即readCookieAndLogon方法

package cn.itcast.filter;

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import cn.itcast bean.User;
import cn.itcast.util.CookieUtil;

public class AutoLogonFilter implements Filter {

public void destroy() {

}

//保存cookie时的cookieName,与CookieUtil.java中的设置相同

private final static String cookieDomainName = “cn.itcast”;

 

public void doFilter(ServletRequest req, ServletResponse resp,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest)req;
HttpServletResponse response = (HttpServletResponse)resp;
HttpSession session = request.getSession(true);
User user = (User)session.getAttribute("user");


//如果封装的user不为空,说明已经登陆,则继续执行用户的请求.下面的就不处理了

if(user!=null){
chain.doFilter(request,response);
return;
}

//user为空,说明用户还没有登陆,就尝试得到浏览器传送过来的Cookie
Cookie cookies[] = request.getCookies();
String cookieValue = null;
if(cookies!=null){
for(int i=0; i<cookies.length; i++){
if (cookieDomainName.equals(cookies[i].getName())) {
cookieValue = cookies[i].getValue();
break;
}
}
}


//如果cookieValue为空,也继续执行用户请求
if(cookieValue==null){
chain.doFilter(request,response);
return;
}

//cookieValue不为空执行下面的方法,调用CookieUtil.java中的readCookieAndLogon方法
try{
CookieUtil.readCookieAndLogon(cookieValue, request, response, chain);
}catch(Exception e){
e.printStackTrace();
}
}

public void init(FilterConfig arg0) throws ServletException {
}
}

CheckLogonServlet.java

验证用户登陆信息的Servlet,此程序调用了CookieUtil.java中的saveCookie方法

package cn.itcast.servlet;

/*
* update 2007.09.23 by lyhapple
* 检查用户登陆
* */

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import cn.itcast.bean.User;
import cn.itcast.dao.UserDAO;
import cn.itcast.factory.DaoImplFactory;
import cn.itcast.util.CookieUtil;

public class CheckLogonServlet extends HttpServlet {

public void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
doPost(request, response);
}

public void doPost(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
request.setCharacterEncoding("utf-8");
String username = request.getParameter("username").trim();
String password = CookieUtil.getMD5(request.getParameter("password"));
String remeberMe = request.getParameter("remeberMe");
HttpSession session = request.getSession(false);

// 将接收到的用户名传递到UserDao的checkUser方法中,检查用户
// 返回一个User类型的对象
UserDAO ud = DaoImplFactory.getInstance();
User user = ud.selectUserByUsername(username);
if (user == null) {
request.setAttribute("checkUserError","<a href='register.jsp'><font color=red>用户名不存在,请先注册</font></a>");
request.getRequestDispatcher("index.jsp").forward(request, response);
return;
}

if(!password.equals(user.getPassword())){
request.setAttribute("checkPasswordError","<font color=red>密码输入错误,请重新输入</font>");
request.getRequestDispatcher("index.jsp").forward(request, response);
return;
}


//保存Cookie,这里调用了CookieUtil.java中的saveCookie方法,将上面的user对象作为参数传递
if ("on".equals(remeberMe)) {
CookieUtil.saveCookie(user, response);
}
//在Session中保存用户信息,并转向用户的个人信息页面
session.setAttribute("user", user);
request.getRequestDispatcher("User/userInfo.jsp").forward(request,response);
}
}
  UserDAO.java与DaoImplFactory.java属于持久层相关的程序,这里就不贴出来了,读者可根据自己需要选择不同的持久层框架,在本程序中只要实现查询用户的功能就可以了  

分享到:
评论

相关推荐

    JAVA通过Session和Cookie实现网站自动登录

    通过上述方法,我们可以有效地实现基于Java的网站自动登录功能。这种方法不仅能够简化用户的操作流程,提高用户体验,还能够在一定程度上确保系统的安全性。当然,在实际应用中还需要根据具体情况调整策略,比如设置...

    htmlunit java版无界面浏览器 网页自动登录

    htmlunit java版无界面浏览器 实现网页自动登录利器 官方最新下载 htmlunit 是一款开源的java 页面分析工具,读取页面后,可以有效的使用htmlunit分析页面上的内容。项目可以模拟浏览器运行,被誉为java浏览器的开源...

    java 连接数据库实现用户登录功能

    在Java编程中,连接数据库并实现用户登录功能是一项基本任务,尤其对于初学者而言,这是一个很好的实践项目。这里我们将深入探讨如何使用Java连接Oracle数据库,创建登录界面,并处理登录验证。 首先,`LoginFrame....

    java实现的多功能自动关机小程序

    本项目“java实现的多功能自动关机小程序”就是一个利用Java编程语言来创建的实用工具,它具备了三种主要功能:倒计时自动关机、按系统时间自动关机以及每次使用电脑时定时关机。 首先,我们来详细探讨倒计时自动...

    搜索功能设计java实现

    Java作为一种广泛使用的编程语言,提供了丰富的库和框架来实现高效、灵活的搜索功能。本篇将深入探讨如何利用Java来设计和实现搜索功能。 1. **基础概念** - **搜索引擎**:搜索引擎是一个系统,用于索引、检索和...

    微信公众平台 JAVA开发代码(实现菜单,自动回复,关注事件等)

    微信公众平台,开发者模式下的Java实现。实现菜单,自动回复,关注事件等!利用SpringMVC框架实现。如有疑问,可以关注我的博客~

    java+js实现下拉框提示搜索功能

    Java 和 JavaScript 结合实现下拉框提示搜索功能是前端开发中的常见需求,它极大地提升了用户交互体验,使得用户能够快速找到所需的信息。这种功能广泛应用于各种网页表单、搜索引擎、推荐系统等。以下是对这个主题...

    java实现仿百度文库功能,含例子

    在本文中,我们将深入探讨如何使用Java来实现一个仿百度文库的功能,这将涉及到文件解析、在线预览以及用户交互等多个方面的技术。百度文库作为一个知名的文档分享平台,其核心功能包括文档上传、存储、搜索以及在线...

    java实现的签到系统

    这个系统采用Java编程语言开发,具备基本的用户登录、签到、签退功能,并且包含了数据库文件,使得用户数据得以存储和查询。下面将详细介绍这个系统的相关知识点。 1. **Java Web开发**:Java Web开发是利用Java...

    网盘源码-实现部分功能(JAVA)

    在本项目中,"网盘源码-实现部分功能(JAVA)" 是一个基于JAVA语言编写的网络硬盘(或云存储)应用的源代码。开发者已经实现了该系统的一部分核心功能,但仍有其他功能需要后续开发。这表明这个源码提供了一个基础架构...

    jsp,java实现谷歌地图,查询地图功能

    本项目专注于使用JSP和Java来集成并实现谷歌地图的查询功能。下面将详细阐述这一技术实现的关键知识点。 1. **JSP基础**: - JSP生命周期:包括翻译、初始化、服务和销毁四个阶段,开发者主要在服务阶段编写业务...

    Java心跳包功能实现

    本项目实现了心跳包的发送和接收功能,包括客户端和服务端的完整实现。 **心跳包的基本原理** 心跳包的原理是客户端和服务端周期性地交换数据包,即使没有实际业务数据需要传输,也会发送一个空的数据包。如果一方...

    Java实现Web报表打印功能.

    ### Java实现Web报表打印功能:基于iText组件的实践 #### 概述 在Web应用领域,打印功能一直是开发者面临的挑战之一。由于Web应用本质上属于瘦客户端架构,直接操作客户端设备(如打印机)存在限制。这促使业界...

    海康威视SDK自动拍照java代码(亲测有效))

    本文将深入解析使用Java编程语言,结合海康威视SDK实现自动拍照的原理和过程。 首先,我们需要了解Java SDK的基本结构和使用方法。海康威视提供的SDK通常包含一系列的接口类和示例代码,这些接口定义了与设备通信的...

    JAVA将一个数据中数据定时自动复制(抽取)到另一个数据库

    本文将深入探讨如何使用Java编程语言实现从一个数据库中定时自动抽取数据并复制到另一个数据库,以达到数据库间的实时或近实时同步。 首先,我们需要了解基础概念。Java是一种广泛使用的面向对象的编程语言,具有...

    java web 实现QQ第三方登录Demo

    这个"java web 实现QQ第三方登录Demo"是一个示例项目,帮助开发者理解并实践如何集成QQ登录接口到自己的Web应用中。下面我们将详细探讨相关的知识点。 1. **OAuth2.0授权协议**: QQ第三方登录基于OAuth2.0协议,...

    java license生成验证的实现

    java license生成验证的实现

    几个推荐算法的java实现

    - Java实现RSVD时,可能需要用到如Spark的MLlib库,它可以并行处理大矩阵,利用分布式计算资源,有效地执行随机化SVD。 4. **ItemNeighborSVD**: - 这种算法结合了基于物品的邻接和SVD方法。它首先通过物品...

    JAVA 实现 switch循环 判断是星期几

    JAVA 实现的 SWITCH 循环 判断是星期几 小试身手

    JAVA中license控制实现示例.doc

    JAVA中license控制实现示例 在 Java 中,license 控制是指通过生成和验证数字签名来控制软件的使用权限。这种方法广泛应用于 J2EE 应用中,特别是在系统购买的早期,提供有限制的 license 文件对系统进行限制。 在...

Global site tag (gtag.js) - Google Analytics