javaweb cooike需要加密吗

如题所述

登录几乎是每个项目都具有的功能，记住密码也是常见的部分，在用户登录时，实现记住密码的功能一般使用两个方法来实现：

使用cookie，将登录信息存入cookie，存储在用户本地。

持久化，将登录信息存入数据库，因为cookie存在过期，而且用户浏览器可能会禁用cookie，使用这个方法有效避免了这些问题。

第二种方法就不多说了，基本就是数据库中表的CRUD的操作了，下面来说一下第一种方法。 
cookie是一种WEB服务器通过浏览器在访问者的硬盘上存储信息的手段。Cookie的目的就是为用户带来方便，为网站带来增值。虽然有着许多误传，事实上Cookie并不会造成严重的安全威胁。 
Cookie永远不会以任何方式执行，因此也不会带来病毒或攻击你的系统。另外，由于浏览器一般只允许存放300个Cookie，每个站点最多存放20个Cookie，每个Cookie的大小限制为4KB，因此Cookie不会塞满你的硬盘。

例如，当我们第一次访问网站输入用户名密码时，可以选择让系统记住用户名密码，下次就不用重新输入了，这就是典型的Cookie的应用。

在讨论cookie的时候都会联想到session，它们之间的区别和联系如下：

cookie机制和session机制的区别
具体来说cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。
同时我们也看到，由于在服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制来达到保存标识的目的，但实际上还有其他选择。

会话cookie和持久cookie的区别 
如果不设置过期时间，则表示这个cookie生命周期为浏览器会话期间，只要关闭浏览器窗口，cookie就消失了。这种生命期为浏览会话期的cookie被称为会话cookie。会话cookie一般不保存在硬盘上而是保存在内存里。 
如果设置了过期时间，浏览器就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie依然有效直到超过设定的过期时间。
存储在硬盘上的cookie可以在不同的浏览器进程间共享，比如两个IE窗口。而对于保存在内存的cookie，不同的浏览器有不同的处理方式。

接下来实现一个记住密码的功能：

<div class="form-group">
       <label class="checkbox-inline">
       <input type="checkbox" name="rememberMe" id="rememberMe"  onclick="remember();"/>
                               Remember me
       </label> <span class="pull-right">

</div>1234567




//记住密码复选框的点击事件function remember(){
   var remFlag = $("input[type='checkbox']").is(':checked');    if(remFlag==true){ //如果选中设置remFlag为true
       //cookie存用户名和密码,回显的是真实的用户名和密码,存在安全问题.
       var conFlag = confirm("记录密码功能不宜在公共场所(如网吧等)使用,以防密码泄露.您确定要使用此功能吗?");        if(conFlag){ //确认标志
           $("#remFlag").val(true);
       }else{
           $("input[type='checkbox']").removeAttr('checked');
           $("#remFlag").val(false);
       }
   }else{ //如果没选中设置remFlag为false
       $("#remFlag").val(false);
   }
}12345678910111213141516


下一次访问此页面自动填充账号密码

$(document).ready(function(){
   //记住密码功能
   var str = getCookie("loginInfo");
   str = str.substring(1,str.length-1);    var username = str.split(",")[0];    var password = str.split(",")[1];    //自动填充用户名和密码
   $("#username").val(username);
   $("#pwd").val(password);    if(str!=null && str!=""){
       $("input[type='checkbox']").attr("checked", true);
   }
});12345678910111213


JavaScript getCookie（）

//获取cookiefunction getCookie(cname) {
   var name = cname + "=";    var ca = document.cookie.split(';');    for(var i=0; i<ca.length; i++) {        var c = ca[i];        while (c.charAt(0)==' ') c = c.substring(1);        if (c.indexOf(name) != -1) return c.substring(name.length, c.length);
   }    return "";
}1234567891011


后台Java对cookie的操作的封装的工具类：

import java.io.UnsupportedEncodingException;import java.net.URLEncoder;import java.util.HashMap;import java.util.Map;import javax.servlet.http.Cookie;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;/**
* 该类可以从浏览器请求中提取出cookies并进行对cookis的相关操作
* @author Administrator
*
*/public class CookiesUtil {
   /**
    * 根据名字获取cookie
    *
    * @param request
    * @param name
    *            cookie名字
    * @return
    */
   public static Cookie getCookieByName(HttpServletRequest request, String name) {
       Map<String, Cookie> cookieMap = ReadCookieMap(request);        if (cookieMap.containsKey(name)) {
           Cookie cookie = (Cookie) cookieMap.get(name);            return cookie;
       } else {            return null;
       }
   }    /**
    * 将cookie封装到Map里面
    *
    * @param request
    * @return
    */
   private static Map<String, Cookie> ReadCookieMap(HttpServletRequest request) {
       Map<String, Cookie> cookieMap = new HashMap<String, Cookie>();
       Cookie[] cookies = request.getCookies();        if (null != cookies) {            for (Cookie cookie : cookies) {
               cookieMap.put(cookie.getName(), cookie);
           }
       }        return cookieMap;
   }    /**
    * 保存Cookies
    *
    * @param response
    *            servlet请求
    * @param value
    *            保存值
    */
   public static HttpServletResponse setCookie(HttpServletResponse response, String name, String value,int time) {        // new一个Cookie对象,键值对为参数
       Cookie cookie = new Cookie(name, value);        // tomcat下多应用共享
       cookie.setPath("/");        // 如果cookie的值中含有中文时，需要对cookie进行编码，不然会产生乱码
       try {
           URLEncoder.encode(value, "utf-8");
       } catch (UnsupportedEncodingException e) {
           e.printStackTrace();
       }
       cookie.setMaxAge(time);        // 将Cookie添加到Response中,使之生效
       response.addCookie(cookie); // addCookie后，如果已经存在相同名字的cookie，则最新的覆盖旧的cookie
       return response;
   }    /**
    * <p>删除无效cookie</p>
    * <p>无效☞1.过时 2.未发布</p>
    * @param request
    * @param response
    * @param list
    */
   @SuppressWarnings("unused")    private void delectCookieByName(HttpServletRequest request, HttpServletResponse response,String deleteKey) throws NullPointerException {
       Map<String, Cookie> cookieMap = ReadCookieMap(request);         for (String key : cookieMap.keySet()) {  
            if(key==deleteKey && key.equals(deleteKey)) {
                Cookie cookie = cookieMap.get(key);
                cookie.setMaxAge(0);//设置cookie有效时间为0
                cookie.setPath("/");//不设置存储路径
                response.addCookie(cookie);
            }
           }
   }
}123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596


附加知识点： 
为了在网络传输上更加安全，一般对密码进行加密之后再提交加密之后的密码串至后台，在数据库的用户表中密码这一字段直接存储加密之后的密码串即可，二者进行比对，判断是否能登录成功。进行加密可以使用不可逆的MD5加密，虽然这已经是不可逆的了，安全度已经很高了，但是如果想更安全一点不被撞击出原始值，可以自己写一个工具类生成一定长度的随机字符串+密码，之后再进行加密，这样的话就算使用抓包工具得到了你的密码串，破解出你的密码的概率微乎其微了。 
工具类生成一定长度的随机字符串

import java.io.UnsupportedEncodingException;import java.security.MessageDigest;import java.security.NoSuchAlgorithmException;import java.util.Random;public class StringUtils {
   /**
    * 获取随机字符串，可用于加密 添加字符，增加保密度
    */
   private static final String ALLCHAR = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";    /**
    * 获取任意位的随机字符串(0-9 a-z A-Z)
    *
    * @param size
    *            位数
    * @return
    */
   public static final String getRandomNum(int size) {
       StringBuffer sb = new StringBuffer();
       Random random = new Random();        for (int i = 0; i < size; i++) {
           sb.append(ALLCHAR.charAt(random.nextInt(ALLCHAR.length())));
       }        return sb.toString();
   }    /**
    * md5加密(ITS)
    *
    * @param str
    * @param charSet
    * @return
    */
   public synchronized static final String getMD5Str(String str, String charSet) { // md5加密
       MessageDigest messageDigest = null;        try {
           messageDigest = MessageDigest.getInstance("MD5");
           messageDigest.reset();            if (charSet == null) {
               messageDigest.update(str.getBytes());
           } else {
               messageDigest.update(str.getBytes(charSet));
           }
       } catch (NoSuchAlgorithmException e) {

       } catch (UnsupportedEncodingException e) {

       }        byte[] byteArray = messageDigest.digest();
       StringBuffer md5StrBuff = new StringBuffer();        for (int i = 0; i < byteArray.length; i++) {            if (Integer.toHexString(0xFF & byteArray[i]).length() == 1)
               md5StrBuff.append("0").append(
                       Integer.toHexString(0xFF & byteArray[i]));            else
               md5StrBuff.append(Integer.toHexString(0xFF & byteArray[i]));
       }        return md5StrBuff.toString();
   }
}123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263


jsp页面产生随机数或随机字符串

<%  
//产生随机数，和密码一起生成MD5  
request.getSession().setAttribute("md5RandomKey", StringUtils.getRandomNum(8));  
 %> 1234


表单提交时，onsubmit事件中：

       //表单提交时对输入的密码进行加密， 避免抓包分析破解密码
       var hash = MD5($('#pwd').val()+"${md5RandomKey}");    
       var hash = MD5($('#pwd').val());
       $('#pwd').val(hash); 1234


好了，功德圆满。