首页 > 代码库 > 教你用Java安全有效的实现两星期内自动登陆功能-Session

教你用Java安全有效的实现两星期内自动登陆功能-Session

现在很多网站都有为用户保存登陆信息(即保存Cookie)的功能,当用户下一次进入网站时,可以帮助用户自动登陆,使网站显得更加友好。笔者通过研究ACEGI项目的自动登陆源码,编写了一个安全有效的实现两星期自动登陆功能的JAVA工具类,。下面是具体的实现流程和实现代码。

先说一下流程:

1.保存用户信息阶段:

当用户登陆网站时,在登陆页面填写完用户名和密码后,如果用户在提交时还选择了“两星期内自动登陆”复选框,那么在后台程序中验证用户名和密码全都正确后,还要为用户保存这些信息,以便用户下一次可以直接进入网站;如果用户没有勾选“两星期内自动登陆”复选框,则不必为用户保存信息,那么用户在下一次登陆网站时仍需要填写用户名和密码。

在保存用户信息阶段,主要的工作是对用户的信息进行加密并保存到客户端。加密用户的信息是较为繁琐的,大致上可分为以下几个步聚:

①得到用户名、经MD5加密后的用户密码、cookie有效时间(本文设置的是两星期,可根据自己需要修改)

②自定义的一个webKey,这个Key是我们为自己的网站定义的一个字符串常量,这个可根据自己需要随意设置

③将上两步得到的四个值得新连接成一个新的字符串,再进行MD5加密,这样就得到了一个MD5明文字符串

④将用户名、cookie有效时间、MD5明文字符串使用“:”间隔连接起来,再对这个连接后的新字符串进行Base64编码

⑤设置一个cookieName,将cookieName和上一步产生的Base64编码写入到客户端。

2.读取用户信息:

其实弄明白了保存原理,读取及校验原理就很容易做了。读取和检验可以分为下面几个步骤:

①根据设置的cookieName,得到cookieValue,如果值为空,就不帮用户进行自动登陆;否则执行读取方法

②将cookieValue进行Base64解码,将取得的字符串以split(“:”)进行拆分,得到一个String数组cookieValues(此操作与保存阶段的第4步正好相反),这一步将得到三个值:

cookieValues[0] ---- 用户名

cookieValues[1] ---- cookie有效时间

cookieValues[2] ---- MD5明文字符串

③判断cookieValues的长度是否为3,如果不为3则进行错误处理。

④如果长度等于3,取出第二个,即cookieValues[1],此时将会得到有效时间(long型),将有效时间与服务器系统当前时间比较,如果小于当前时间,则说明cookie过期,进行错误处理。

⑤如果cookie没有过期,就取cookieValues[0],这样就可以得到用户名了,然后去数据库按用户名查找用户。

⑥如果上一步返回为空,进行错误处理。如果不为空,那么将会得到一个已经封装好用户信息的User实例对象user

⑦取出实例对象user的用户名、密码、cookie有效时间(即cookieValues[1])、webKey,然后将四个值连接起来,然后进行MD5加密,这样做也会得到一个MD5明文字符串(此操作与保存阶段的第3步类似)

⑧将上一步得到MD5明文与cookieValues[2]进行equals比较,如果是false,进行错误处理;如果是true,则将user对象添加到session中,帮助用户完成自动登陆

完整的代码,用途请参见注释

CookieUtil.java

处理cookie的工具类,包括读取,保存,清除三个主要方法。

/**
 * @author duanxz
 * Date 2014-6-4
 */
package com.dxz.temp;

import java.io.IOException;

import java.io.PrintWriter;

import java.io.UnsupportedEncodingException;

import javax.servlet.FilterChain;

import javax.servlet.ServletException;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

import com.dxz.DaoImplFactory;
import com.dxz.bean.User;
import com.dxz.dao.UserDAO;
import com.sun.org.apache.xerces.internal.impl.dv.util.Base64;

public class CookieUtil {
    
    // 保存cookie时的cookieName
    private final static String cookieDomainName = "cn.itcast";
    // 加密cookie时的网站自定码
    private final static String webKey = "itcast";
    // 设置cookie有效期是两个星期,根据需要自定义
    private final static long cookieMaxAge = 60 * 60 * 24 * 7 * 2;

    // 保存Cookie到客户端--------------------------------------------------------------------------------------------------------
    // 在CheckLogonServlet.java中被调用
    // 传递进来的user对象中封装了在登陆时填写的用户名与密码
    public static void saveCookie(User user, HttpServletResponse response) {

        // cookie的有效期
        long validTime = System.currentTimeMillis() + (cookieMaxAge * 1000);
        // MD5加密用户详细信息
        String cookieValueWithMd5 = getMD5(user.getUserName() + ":"
                + user.getPassword()
                + ":" + validTime + ":" + webKey);
        
        // 将要被保存的完整的Cookie值
        String cookieValue = http://www.mamicode.com/user.getUserName() +":" + validTime + ":"
                + cookieValueWithMd5;
        // 再一次对Cookie的值进行BASE64编码
        String cookieValueBase64 = new String(Base64.encode(cookieValue
                .getBytes()));
        // 开始保存Cookie
        Cookie cookie = new Cookie(cookieDomainName, cookieValueBase64);
        // 存两年(这个值应该大于或等于validTime)
        cookie.setMaxAge(60 * 60 * 24 * 365 * 2);
        // cookie有效路径是网站根目录
        cookie.setPath("/");
        // 向客户端写入
        response.addCookie(cookie);
    }

    // 读取Cookie,自动完成登陆操作--------------------------------------------------------------------------------------------
    // 在Filter程序中调用该方法,见AutoLogonFilter.java
    public static void readCookieAndLogon(HttpServletRequest request,
            HttpServletResponse response,
            FilterChain chain) throws IOException, ServletException,
            UnsupportedEncodingException {
        // 根据cookieName取cookieValue
        Cookie cookies[] = request.getCookies();
        String cookieValue = null;
        if (cookies != null) {
            for (int i = 0; i < cookies.length; i++) {
                if (cookieDomainName.equals(cookies[i].getName())) {
                    cookieValue = cookies[i].getValue();
                    break;
                }
            }
        }
        // 如果cookieValue为空,返回,
        if (cookieValue =http://www.mamicode.com/= null) {
            return;
        }

        // 如果cookieValue不为空,才执行下面的代码
        // 先得到的CookieValue进行Base64解码
        String cookieValueAfterDecode = new String(Base64.decode(cookieValue),
                "utf-8");
        // 对解码后的值进行分拆,得到一个数组,如果数组长度不为3,就是非法登陆
        String cookieValues[] = cookieValueAfterDecode.split(":");
        if (cookieValues.length != 3) {
            response.setContentType("text/html;charset=utf-8");
            PrintWriter out = response.getWriter();
            out.println("你正在用非正常方式进入本站...");
            out.close();
            return;
        }

        // 判断是否在有效期内,过期就删除Cookie
        long validTimeInCookie = new Long(cookieValues[1]);
        if (validTimeInCookie < System.currentTimeMillis()) {
            // 删除Cookie
            clearCookie(response);
            response.setContentType("text/html;charset=utf-8");
            PrintWriter out = response.getWriter();
            out.println("<a href=http://www.mamicode.com/’logon.jsp’>你的Cookie已经失效,请重新登陆");
            out.close();
            return;
        }

        // 取出cookie中的用户名,并到数据库中检查这个用户名,
        String username = cookieValues[0];
        // 根据用户名到数据库中检查用户是否存在
        UserDAO ud = DaoImplFactory.getInstance();
        User user = ud.selectUserByUsername(username);
        // 如果user返回不为空,就取出密码,使用用户名+密码+有效时间+ webSiteKey进行MD5加密
        if (user != null) {
            String md5ValueInCookie = cookieValues[2];
            String md5ValueFromUser = getMD5(user.getUserName() + ":"
                    + user.getPassword()
                    + ":" + validTimeInCookie + ":" + webKey);
            // 将结果与Cookie中的MD5码相比较,如果相同,写入Session,自动登陆成功,并继续用户请求
            if (md5ValueFromUser.equals(md5ValueInCookie)) {
                HttpSession session = request.getSession(true);
                session.setAttribute("user", user);
                chain.doFilter(request, response);
            }
        } else {
            // 返回为空执行
            response.setContentType("text/html;charset=utf-8");
            PrintWriter out = response.getWriter();
            out.println("cookie验证错误!");
            out.close();
            return;
        }

    }

    // 用户注销时,清除Cookie,在需要时可随时调用------------------------------------------------------------
    public static void clearCookie(HttpServletResponse response) {
        Cookie cookie = new Cookie(cookieDomainName, null);
        cookie.setMaxAge(0);
        cookie.setPath("/");
        response.addCookie(cookie);
    }

    // 获取Cookie组合字符串的MD5码的字符串----------------------------------------------------------------------------
    public static String getMD5(String value) {
        String result = null;
        try {
            byte[] valueByte = value.getBytes();
            MessageDigest md = MessageDigest.getInstance("MD5");
            md.update(valueByte);
            result = toHex(md.digest());
        } catch (NoSuchAlgorithmException e2) {
            e2.printStackTrace();
        }
        return result;
    }

    // 将传递进来的字节数组转换成十六进制的字符串形式并返回
    private static String toHex(byte[] buffer) {
        StringBuffer sb = new StringBuffer(buffer.length * 2);
        for (int i = 0; i < buffer.length; i++) {
            sb.append(Character.forDigit((buffer[i] & 0xf0) >> 4, 16));
            sb.append(Character.forDigit(buffer[i] & 0x0f, 16));
        }
        return sb.toString();
    }

}

 

下面的是对CookieUtil工具类各方法的调用演示:

User.java

封装用户信息的JavaBean对象模型

package com.dxz.bean;

/**
 * @author duanxz Date 2014-6-4
 */
public class User {
    private int id;
    private String userName;
    private String password;
    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getUserName() {
        return userName;
    }

    public void setUserName(String userName) {
        this.userName = userName;
    }

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }
}

过滤器程序,可在WEB-INF/web.xml中设置过滤规则,本文对过滤规则不作介绍,此程序主要作用是检查用户在上一次登陆时是否保存了Cookie,如果保存了,就处理Cookie信息,并帮助用户自动登陆AutoLogonFilter.java

本程序主要调用了CookieUtil.java中的读取与自动登陆方法,即readCookieAndLogon方法

package com.dxz.filter;

/**
 * @author duanxz
 * Date 2014-6-4
 */
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import com.dxz.bean.User;
import com.dxz.temp.CookieUtil;

public class AutoLogonFilter implements Filter {
    
    public void destroy() {
    }

    // 保存cookie时的cookieName,与CookieUtil.java中的设置相同
    private final static String cookieDomainName = "cn.itcast";
    
    public void doFilter(ServletRequest req, ServletResponse resp,
    FilterChain chain) throws IOException, ServletException {
    
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) resp;
        HttpSession session = request.getSession(true);
        User user = (User) session.getAttribute("user");
        // 如果封装的user不为空,说明已经登陆,则继续执行用户的请求.下面的就不处理了
        if (user != null) {
            chain.doFilter(request, response);
            return;
        }

        // user为空,说明用户还没有登陆,就尝试得到浏览器传送过来的Cookie
        Cookie cookies[] = request.getCookies();
        String cookieValue = null;
        if (cookies != null) {
            for (int i = 0; i < cookies.length; i++) {
                if (cookieDomainName.equals(cookies[i].getName())) {
                    cookieValue = cookies[i].getValue();
                    break;
                }
            }
        }

        // 如果cookieValue为空,也继续执行用户请求
        if (cookieValue =http://www.mamicode.com/= null) {
            chain.doFilter(request, response);
            return;
        }

        // cookieValue不为空执行下面的方法,调用CookieUtil.java中的readCookieAndLogon方法
        try {
            CookieUtil.readCookieAndLogon(request, response, chain);
        } catch (Exception e) {
            e.printStackTrace();
        }

    }

    public void init(FilterConfig arg0) throws ServletException {

    }

}


CheckLogonServlet.java

验证用户登陆信息的Servlet,此程序调用了CookieUtil.java中的saveCookie方法

/**
 * @author duanxz
 * Date 2014-6-4
 */
package com.dxz.servlet;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import com.dxz.DaoImplFactory;
import com.dxz.bean.User;
import com.dxz.dao.UserDAO;
import com.dxz.temp.CookieUtil;

public class CheckLogonServlet extends HttpServlet {

    public void doGet(HttpServletRequest request, HttpServletResponse response)
    throws ServletException, IOException {
        doPost(request, response);
    }

    public void doPost(HttpServletRequest request, HttpServletResponse response)
    throws ServletException, IOException {
        request.setCharacterEncoding("utf-8");
        String username = request.getParameter("username").trim();
        String password = CookieUtil.getMD5(request.getParameter("password"));
        String remeberMe = request.getParameter("remeberMe");

        HttpSession session = request.getSession(false);
        // 将接收到的用户名传递到UserDao的checkUser方法中,检查用户
        // 返回一个User类型的对象
        UserDAO ud = DaoImplFactory.getInstance();
        User user = ud.selectUserByUsername(username);
        if (user == null) {
            request.setAttribute("checkUserError",
                    "<a href=http://www.mamicode.com/‘register.jsp‘>用户名不存在,请先注册");
            request.getRequestDispatcher("index.jsp")
                    .forward(request, response);
            return;
        }

        if (!password.equals(user.getPassword())) {
            request.setAttribute("checkPasswordError",
                    "<font color=red>密码输入错误,请重新输入</font>");
            request.getRequestDispatcher("index.jsp")
                    .forward(request, response);
            return;
        }

        // 保存Cookie,这里调用了CookieUtil.java中的saveCookie方法,将上面的user对象作为参数传递
        if ("on".equals(remeberMe)) {
            CookieUtil.saveCookie(user, response);
        }

        // 在Session中保存用户信息,并转向用户的个人信息页面
        session.setAttribute("user", user);
        request.getRequestDispatcher("User/userInfo.jsp").forward(request,
                response);
    }

}

UserDAO.java与DaoImplFactory.java属于持久层相关的程序,这里就不贴出来了,读者可根据自己需要选择不同的持久层框架,在本程序中只要实现查询用户的功能就可以了哦...