为了方便用户登录,差点儿全部的站点都实现了“记住password”、“自己主动登陆”这样似乎人性化的功能。

我也非常喜欢这个功能,由于我自己的脑子实在是讨厌记东西。

为了安全起见。我的password都设置的非常复杂,满足“数字+特殊符号+英文字母大写和小写”。

但password一复杂,我就总记不住,就想让站点替我记住。

但殊不知。这背后隐藏着巨大的风险。

我先劝大家一声:“危急,不要任意让站点记住password自己主动登陆。”

要了解事情的真相,请随我来看一看怎样利用cookie实现记住password自己主动登陆。

第一步、构建form表单

<form class="form-signin required-validate" action="${ctx}/login?callbackType=forward">

    ${token}

    <div class="form-group">

        <div class="row">

            <input class="form-control" type="text" autofocus name="username" value="${username}" placeholder="请输入会员编号" />

        </div>

    </div>

    <div class="blank10"></div>

    <div class="form-group">

        <div class="row">

            <input class="form-control" type="password" name="password" value="${password}" placeholder="请输入登录password" />

        </div>

    </div>

    <div class="form-group">

        <div class="row">

            <div class="checkbox">

                <label> <input type="checkbox" value="1" <c:if test="${isSave == 'true'}">checked</c:if> name="isSave" /> 下次自己主动登录

                </label>

            </div>

        </div>

    </div>

    <div class="form-group">

        <div class="row">

            <button class="btn btn-lg btn-primary btn-block" type="submit">登录</button>

        </div>

    </div>

</form>

第二步、登陆时利用cookie记住password

@RequestMapping("/login")

public ModelAndView login(HttpServletResponse response,

        @RequestParam(value = "username", required = false) String username,

        @RequestParam(value = "password", required = false) String password) {

    try {

        boolean isSave = getParaToBoolean("isSave", false);

        logger.debug("isSaved " + isSave);

        // 尝试获取cookie

        String cookieUser = CookieUtil.getCookieByName(request, Constants.COOKIE_USER);

        logger.debug("cookie的值为:" + cookieUser);

        // 验证用户信息

        Members user = memberService.selectByUsername(username);

        // 假设IP不同。则清除cookie

        if (cookieUser != null) {

            if (!user.getLastip().equals(request.getRemoteAddr())) {

                // 移除自己主动登录cookie信息

                CookieUtil.removeCookie(response, Constants.COOKIE_USER);// 删除cookie

            }

        }

        MembersValidator.checkPassword(password, user.getPassword());

        user.setLastip(request.getRemoteAddr());// 更新登录id 和最后登录时间

        memberService.updateLastvisit(user);

        checkToken();

        int max_age = Variables.cookie_expire * 3600 * 24;

        if (isSave) {

            // 将自己主动登录信息存入cookie

            CookieUtil.setCookie(response, Constants.COOKIE_USER,

                    DesUtils.encrypt(username + "," + password + "," + isSave), max_age);

        } else {

            // 移除自己主动登录cookie信息

            CookieUtil.removeCookie(response, Constants.COOKIE_USER);// 删除cookie

        }

        logger.debug("登陆成功后跳转");

        return ajaxDoneSuccess(user.getUid().toString(), (String) getSessionAttr(Constants.BEFORE_LOGIN_URL));

    } catch (Exception e) {

        logger.error(e.getMessage());

        logger.error(e.getMessage(), e);

        return ajaxDoneError(Constants.SERVER_ERROR);

    }

}

这部分代码也非常清晰明了,就不做多的解释。

附上CookieUtil.java类

/**

 * Cookie工具类

 *

 */

public class CookieUtil {

    /**

     * 加入cookie

     *

     * @param response

     * @param name

     * @param value

     * @param maxAge

     */

    public static void setCookie(HttpServletResponse response, String name, String value, int maxAge) {

        Cookie cookie = new Cookie(name, value);

        cookie.setPath("/");

        if (maxAge > 0) {

            cookie.setMaxAge(maxAge);

        }

        response.addCookie(cookie);

    }

    /**

     * 删除cookie

     *

     * @param response

     * @param name

     */

    public static void removeCookie(HttpServletResponse response, String name) {

        Cookie uid = new Cookie(name, null);

        uid.setPath("/");

        uid.setMaxAge(0);

        response.addCookie(uid);

    }

    /**

     * 获取cookie值

     *

     * @param request

     * @return

     */

    public static String getCookieByName(HttpServletRequest request, String cookieName) {

        Cookie cookies[] = request.getCookies();

        if (cookies == null) {

            return null;

        }

        for (Cookie cookie : cookies) {

            if (cookie.getName().equals(cookieName)) {

                return cookie.getValue();

            }

        }

        return null;

    }

}

第三步、从cookie中取出登陆用户名、password等关键信息

@RequestMapping("/initLogin")

public ModelAndView initLogin() {

    logger.debug("进入登陆页");

    try {

        ModelAndView initView = new ModelAndView("login");

        String cookieUser = CookieUtil.getCookieByName(request, Constants.COOKIE_USER);

        if (cookieUser != null) {

            String decode = DesUtils.decrypt(cookieUser);

            String[] cookieUsers = decode.split(",");

            initView.addObject("username", cookieUsers[0]);

            initView.addObject("password", cookieUsers[1]);

            initView.addObject("isSave", cookieUsers[2]);

        }

        createToken();

        return initView;

    } catch (Exception e) {

        logger.error(e.getMessage());

        logger.error(e.getMessage(), e);

        return error300(Constants.SERVER_ERROR);

    }

}

当我输入了账号、以及password后。勾选上“下次自己主动登陆”。那么系统在验证通过后,就会通过cookie记住我的用户名和password,下次不用再输入账号和password。直接点击登陆就进入系统。

到此为止,自己主动登陆的功能已经实现了。

那么,如今能够说一些负责任的话了。

在浏览器的开发人员模式下,注意红色框中的“type=’password’”,此时我们将type改动为text。

注意,注意,你是不是已经发现了,password不再是password了。成了明文了。

你,此刻是否心惊肉跳了?

对,XX(这文章会被和谐吗,不至于吧,这早已经不是秘密了。是个程序猿都知道)也这样!

所以。作为一个不务正业的IT狗来说,我奉劝各位,“危急。不要任意让站点记住password自己主动登陆!



假如你的电脑这会被我用。而你又选择让站点记住password。那对不起了,你再复杂的password也只是是一串明文而已!

当然了。放心了。我是不会去看你的password了。

只是浏览器会不会看你的password我就不敢保证了。

既然为了安全,设置了超长超复杂的password,那么每次就手动输一下嘛,不麻烦,安全得非常!

不务正业的IT狗,喜欢读书和写作!

微信扫一扫下方二维码就可以关注 沉默王二 公众号:

危急,不要任意让站点记住password自己主动登陆!的更多相关文章

  1. Linux下无需输入password自己主动登陆sshserver方法

    用OpenSSH在linux下登陆sshserver时.每次都提示要输入password,并且使用vim 的netrw插件编辑远程文件时每次改动后保存都要输password,很麻烦. 查看了netrw ...

  2. Android记住password后自己主动登录

    /**  *   * @author alex  * @version 2014-7-31下午5:25:45  *  */ public class LoginActivity extends Act ...

  3. Android之记住密码与自动登陆实现

    本文主要讲述了利用sharedpreference实现记住密码与自动登陆功能 根据checkbox的状态存储用户名与密码 将结果保存在自定义的application中,成为全局变量 布局文件 < ...

  4. sharepreference实现记住password功能

        SharePreference是用于保存数据用的.主要调用Context.getSharePreferences(String name, int mode)方法来得到SharePrefere ...

  5. 下次自己主动登录(记住password)功能

    1:进入cookie插件 <script src="jquery.cookie.js" type="text/javascript"></sc ...

  6. android记住密码和自动登陆

    import android.app.Activity; import android.content.Intent; import android.content.SharedPreferences ...

  7. php实现记住密码下次自动登陆

    这篇博客里面还写到 实现“记住我的登录状态”的功能方法,简言之,就是对首先对session进行用户信息赋值,检测session,失效后,利用cookie对其赋值: 在实现过程中,根据网上一些代码贴,整 ...

  8. web站点,同一个浏览器只能登陆一个用户的原因(cookie不能跨浏览器)

    我的web站点,比如  http://ip/testsite/default.aspx, 当我在我的机器上,用chrome打开,用账号user1登陆,那么当我再新开个tab,再打开这个web站点,这时 ...

  9. 【转载】SSH login without password 免密登陆

    Your aim You want to use Linux and OpenSSH to automate your tasks. Therefore you need an automatic l ...

随机推荐

  1. thulac安装问题

    目标:在anaconda里面安装thulac. 1.打开Anaconda Prompt 2.输入pip install thulac 结果:报错! 报错画面如下: 解决方案: 1.到https://p ...

  2. Leetcode 564.寻找最近的回文数

    寻找最近的回文数 给定一个整数 n ,你需要找到与它最近的回文数(不包括自身). "最近的"定义为两个整数差的绝对值最小. 示例 1: 输入: "123" 输出 ...

  3. c#委托使用

    public class StepArgs : EventArgs { public int m_IMax = 0; public int m_IStep = 0; public string m_S ...

  4. OAuth 开放授权

    什么是OAuth授权?   一.什么是OAuth协议 OAuth(开放授权)是一个开放标准. 允许第三方网站在用户授权的前提下访问在用户在服务商那里存储的各种信息. 而这种授权无需将用户提供用户名和密 ...

  5. 【bzoj3630】[JLOI2014]镜面通道 对偶图+计算几何+网络流最小割

    题目描述 在一个二维平面上,有一个镜面通道,由镜面AC,BD组成,AC,BD长度相等,且都平行于x轴,B位于(0,0).通道中有n个外表面为镜面的光学元件,光学元件α为圆形,光学元件β为矩形(这些元件 ...

  6. 多线程(继承Thread)

    /** *Thread的常用方法 *1.start(),启动线程再执行run方法 *2.run():子线程要执行的代码放入run()方法中 *3.currentThread()静态的,调取当前线程,返 ...

  7. 修改host文件实现自定义域名和iis站点本地调试

    修改host文件实现自定义域名和iis站点本地调试 自定义域名:myhost.com windows版本:win7 iis版本:iis7.x vs版本:vs2010 现在开始动手设置了: 一.修改ho ...

  8. A.Equals(B)和A==B的区别

    Equals 和 == 都是用于比较. 如果a和b都是值类型,则a.Equals(b) 和 a == b 结果相同,但是在引用类型是它们的行为是不同的: string a = new string(n ...

  9. [LOJ#2330]「清华集训 2017」榕树之心

    [LOJ#2330]「清华集训 2017」榕树之心 试题描述 深秋.冷风吹散了最后一丝夏日的暑气,也吹落了榕树脚下灌木丛的叶子.相识数年的Evan和Lyra再次回到了小时候见面的茂盛榕树之下.小溪依旧 ...

  10. Python之时间:time模块

    import time   对于时间,使用最频繁的模块 1.获取当前时间 (1)时间戳 time.time() 时间戳:从1970年1月1日0点开始到现在按秒计算的偏移量 (2)时间元组 time.l ...