为了方便用户登录,差点儿全部的站点都实现了“记住password”、“自己主动登陆”这样似乎人性化的功能。
我也非常喜欢这个功能,由于我自己的脑子实在是讨厌记东西。
为了安全起见。我的password都设置的非常复杂,满足“数字+特殊符号+英文字母大写和小写”。
但password一复杂,我就总记不住,就想让站点替我记住。
但殊不知。这背后隐藏着巨大的风险。
我先劝大家一声:“危急,不要任意让站点记住password自己主动登陆。”
要了解事情的真相,请随我来看一看怎样利用cookie实现记住password自己主动登陆。
第一步、构建form表单
<form class="form-signin required-validate" action="${ctx}/login?callbackType=forward">
${token}
<div class="form-group">
<div class="row">
<input class="form-control" type="text" autofocus name="username" value="${username}" placeholder="请输入会员编号" />
</div>
</div>
<div class="blank10"></div>
<div class="form-group">
<div class="row">
<input class="form-control" type="password" name="password" value="${password}" placeholder="请输入登录password" />
</div>
</div>
<div class="form-group">
<div class="row">
<div class="checkbox">
<label> <input type="checkbox" value="1" <c:if test="${isSave == 'true'}">checked</c:if> name="isSave" /> 下次自己主动登录
</label>
</div>
</div>
</div>
<div class="form-group">
<div class="row">
<button class="btn btn-lg btn-primary btn-block" type="submit">登录</button>
</div>
</div>
</form>第二步、登陆时利用cookie记住password
@RequestMapping("/login")
public ModelAndView login(HttpServletResponse response,
@RequestParam(value = "username", required = false) String username,
@RequestParam(value = "password", required = false) String password) {
try {
boolean isSave = getParaToBoolean("isSave", false);
logger.debug("isSaved " + isSave);
// 尝试获取cookie
String cookieUser = CookieUtil.getCookieByName(request, Constants.COOKIE_USER);
logger.debug("cookie的值为:" + cookieUser);
// 验证用户信息
Members user = memberService.selectByUsername(username);
// 假设IP不同。则清除cookie
if (cookieUser != null) {
if (!user.getLastip().equals(request.getRemoteAddr())) {
// 移除自己主动登录cookie信息
CookieUtil.removeCookie(response, Constants.COOKIE_USER);// 删除cookie
}
}
MembersValidator.checkPassword(password, user.getPassword());
user.setLastip(request.getRemoteAddr());// 更新登录id 和最后登录时间
memberService.updateLastvisit(user);
checkToken();
int max_age = Variables.cookie_expire * 3600 * 24;
if (isSave) {
// 将自己主动登录信息存入cookie
CookieUtil.setCookie(response, Constants.COOKIE_USER,
DesUtils.encrypt(username + "," + password + "," + isSave), max_age);
} else {
// 移除自己主动登录cookie信息
CookieUtil.removeCookie(response, Constants.COOKIE_USER);// 删除cookie
}
logger.debug("登陆成功后跳转");
return ajaxDoneSuccess(user.getUid().toString(), (String) getSessionAttr(Constants.BEFORE_LOGIN_URL));
} catch (Exception e) {
logger.error(e.getMessage());
logger.error(e.getMessage(), e);
return ajaxDoneError(Constants.SERVER_ERROR);
}
}这部分代码也非常清晰明了,就不做多的解释。
附上CookieUtil.java类
/**
* Cookie工具类
*
*/
public class CookieUtil {
/**
* 加入cookie
*
* @param response
* @param name
* @param value
* @param maxAge
*/
public static void setCookie(HttpServletResponse response, String name, String value, int maxAge) {
Cookie cookie = new Cookie(name, value);
cookie.setPath("/");
if (maxAge > 0) {
cookie.setMaxAge(maxAge);
}
response.addCookie(cookie);
}
/**
* 删除cookie
*
* @param response
* @param name
*/
public static void removeCookie(HttpServletResponse response, String name) {
Cookie uid = new Cookie(name, null);
uid.setPath("/");
uid.setMaxAge(0);
response.addCookie(uid);
}
/**
* 获取cookie值
*
* @param request
* @return
*/
public static String getCookieByName(HttpServletRequest request, String cookieName) {
Cookie cookies[] = request.getCookies();
if (cookies == null) {
return null;
}
for (Cookie cookie : cookies) {
if (cookie.getName().equals(cookieName)) {
return cookie.getValue();
}
}
return null;
}
}第三步、从cookie中取出登陆用户名、password等关键信息
@RequestMapping("/initLogin")
public ModelAndView initLogin() {
logger.debug("进入登陆页");
try {
ModelAndView initView = new ModelAndView("login");
String cookieUser = CookieUtil.getCookieByName(request, Constants.COOKIE_USER);
if (cookieUser != null) {
String decode = DesUtils.decrypt(cookieUser);
String[] cookieUsers = decode.split(",");
initView.addObject("username", cookieUsers[0]);
initView.addObject("password", cookieUsers[1]);
initView.addObject("isSave", cookieUsers[2]);
}
createToken();
return initView;
} catch (Exception e) {
logger.error(e.getMessage());
logger.error(e.getMessage(), e);
return error300(Constants.SERVER_ERROR);
}
}
当我输入了账号、以及password后。勾选上“下次自己主动登陆”。那么系统在验证通过后,就会通过cookie记住我的用户名和password,下次不用再输入账号和password。直接点击登陆就进入系统。
到此为止,自己主动登陆的功能已经实现了。
那么,如今能够说一些负责任的话了。
在浏览器的开发人员模式下,注意红色框中的“type=’password’”,此时我们将type改动为text。
注意,注意,你是不是已经发现了,password不再是password了。成了明文了。
你,此刻是否心惊肉跳了?
对,XX(这文章会被和谐吗,不至于吧,这早已经不是秘密了。是个程序猿都知道)也这样!
所以。作为一个不务正业的IT狗来说,我奉劝各位,“危急。不要任意让站点记住password自己主动登陆!
”
假如你的电脑这会被我用。而你又选择让站点记住password。那对不起了,你再复杂的password也只是是一串明文而已!
当然了。放心了。我是不会去看你的password了。
只是浏览器会不会看你的password我就不敢保证了。
既然为了安全,设置了超长超复杂的password,那么每次就手动输一下嘛,不麻烦,安全得非常!
不务正业的IT狗,喜欢读书和写作!
微信扫一扫下方二维码就可以关注 沉默王二 公众号:
