使用Cookies的Java Web App安全性

1. index.html
2. VideoServlet
3. listvideos.jsp
4. addvideo.jsp
5. videologin,jsp

        Cookies是一些纯文本值（通常存储在浏览器缓存中的文本文件中），可用于在客户端存储数据。当用户向特定URL发出请求时，该服务器（域）上存储的所有cookie都将随它一起传递，以便服务器可以读取这些值。 在Java中，您可以在servlet中设置这样的cookie（在这种情况下，当用户登录时，创建一个cookie并在其中存储一个值（例如username = josh）。成功登录。

protected void doGet(HttpServletRequest request,HttpServletResponse response) throws ServletException,IOException {

    // Verify login,and get the username. Assume it\'s josh

    Cookie cookie = new Cookie(\"username\",\"josh\");
    cookie.setMaxAge(60*60*24); // 24 hours for expiry
    response.addCookie(cookie);

}

稍后，您可以检查cookie是否存在，如果存在，则表明用户已经登录。如果没有，则可以将重定向发送到登录页面。 您可以在servlet中检查像这样的cookie。

protected void doGet(HttpServletRequest request,IOException {

    Cookie[] cookies = request.getCookies();

    String username = null;

    for (Cookie c : cookies) {
        if (\"_username\".equals(c.getName())) {
            username = c.getValue();
            break;
        }
    }

    if (username == null) {
        // Not Logged in. Redirect to Login
    }

    // User Logged In. Proceed
}

您可以轻松地将其放入Servlet Filter类中，而不用将这些代码放入所有Servlet + JSP中。您可以在这里阅读更多内容：http://javaboutique.internet.com/tutorials/Servlet_Filters/ 理想情况下，您还可以提供注销功能，该功能通过将其替换为null来删除分配给用户名cookie的值。 我展示了上面的示例，因为您提到需要使用Cookie进行分配。但是，如果可以的话，请尝试使用会话（大部分时间使用cookie）来存储登录的用户详细信息。对于会话，您可以使用会话超时来确保空闲的用户将在一段时间后自动注销，以此类推。     ,           index.html文件基本上将HTTP Get发送到VideoServlet。 servlet以某种方式知道用户尚未登录，因此将请求/响应转发到videologin.jsp。 某种程度上知道是由于在请求中寻找cookie的存在。确保cookie的内容受消息身份验证代码的保护，因此可以确保服务器实际分发了cookie。将客户端使用的特定IP地址编码到cookie中也是一个好主意，因此攻击者无法劫持cookie。 （如果客户端在会话期间更改IP地址，则要求他们再次登录并不可怕。可能令人讨厌，但并非意外。）   servlet检查密码，如果正确，则用户登录，然后servlet转发到listvideos.jsp。 用户登录-将cookie设置到浏览器中以供将来请求。