JSP/Servlets: Реализация опции "запомнить меня" при логине?

Question

[KhanTengri]

Есть ли какие существующие подходы, методики или шаблоны для реализации такого функционала на JSP/Servlets? Ну, или как это обычно реализуется вообще…



ЗЫЖ Имеют значение два фактора: безопасность и быстродействие.

Answer 1

[ertaquo]

Могу предложить пару вариантов:
1. При авторизации пользователя генерируется и записывается в базу уникальный код. Этот код отправляется в кукисах, а в базе сопоставляется с кодом пользователя.
2. В кукисах отправляются код пользователя и хеш его пароля, разбавленного какими-то символами («подсоленого»).
В обоих случаях при входе на сайт неавторизированного пользователя проверяются его куки и если есть указанные выше, пользователь автоматически авторизируется. Естественно, проходить эта проверка и авторизация должна до того, как будут выполняться какие-то действия, зависящие от текущего пользователя.
О том, как работать с кукисами, можно прочитать здесь.

Comments

[1nd1go]

Это правильный способ

[ertaquo]

Спасибо, кэп! =)

[1nd1go]

Просто хотелось вставить крутой комент здесь и в ответе ниже, чтобы они органично смотрелись :)

Answer 2

[juise]

Та используйте сессии, это в Java делается просто.

Положить значение в сессию:
protected void doPost(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse) {
HttpSession httpSession = httpServletRequest.getSession(true);
String sid = (String) session.getAttribute(«sid»);
}

some_check_login_method_doPost(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse) {
httpServletRequest.getSession().getAttribute(«sid»);
}

Comments

[1nd1go]

Это неправильный способ. Сессия закроется через полчаса. Использовать большие сессии неправильно.

[juise]

Скажи это хабру и ещё двум сотням больших сайтов. А вообще возникает вопрос, чем кука отличяется от сессии на клиенте? — ничем. Опять таки, время жизни сессии можно варьировать

[nixmale]

На клиенте куки отличаются от сессий тем, что поддержку кук вы можете отключить, а вот поддержку сессий уже нет, так как данные сохраненные в сессии хранятся во временных файлах на сервере или в базе данных, а файлы кук хранятся на клиенте, причем отключение кук никак не блокирует передачу браузером сессионного идентификатора на сервер, что собственно и делает сессии таким надежным механизмом.

При считывании данных из кук сервер обращается к информации пришедшей от клиента вместе с запросом (это 4Kb), а при считывании данных из сессии осуществляется поиск в файлах или базе данных на сервере среди такого количества файлов, сколько пользователей онлайн, плюс тех, что с сайта уже ушли но сессионные идентификаторы которых еще хранятся.

И такой поиск осуществляется для каждого пользователя на каждую запрошенную страницу минимум, так как некоторые движки сайтов могут использовать сессионный механизм в основе ядра и сессионный идентификатор в этом случае будет создаваться даже для ботов. Большая посещаемость + значительное увеличение времени жизни сессии создадут серьезную нагрузку, если не падение сервера, поэтому время жизни сессий должно быть как можно меньше, но в пределах разумного (обычно это 15-30 минут). Куки можно поставить и на 50 лет вперед, но нагрузки на сервер это не создаст.

[1nd1go]

Идея в том, что сесии использовать можно, но для реализации запомнить меня — это не все, что требуется. Основное — это куки, где хранится идентификатор авторизованного пользователя. Иначе тебя бы разлогинивало когда с утра ты пришел и открыл страницу.

[nixmale]

Как будто я пытаюсь убедить Вас в обратном…

[1nd1go]

Я просто несколько дополнил ваш ответ ;)