|
使用session作為用戶(hù)標(biāo)識(shí)實(shí)現(xiàn)登錄,不適用分布式環(huán)境�����。分布式環(huán)境下���,通常采用cookie+緩存的方式維持登錄狀態(tài)����。
具體做法:
1�、用戶(hù)輸入賬號(hào)密碼進(jìn)行登錄驗(yàn)證
2、驗(yàn)證通過(guò)后�,在cookie里寫(xiě)入一個(gè)隨機(jī)字符串;同時(shí)�,以該字符串為key,在mc中保存對(duì)應(yīng)用戶(hù)登錄票(代替session)
3����、登錄后才能看見(jiàn)的頁(yè)面在struts2或者springMvc中配置攔截器,攔截器中讀取cookie對(duì)應(yīng)的用戶(hù)登錄票��。如果登錄票存在�����,則延長(zhǎng)緩存時(shí)間����,如果登錄票不存在,則跳到登錄界面
注意事項(xiàng):
為了防止cookie劫持�����,通常有兩種做法
1����、在寫(xiě)入cookie時(shí)����,在http頭加上httponly
2����、登錄票的key可以加入IP信息,這樣就算黑客劫持了該cookie�����,也無(wú)法偽造用戶(hù)的登錄狀態(tài)
|
