網上說的很多自動登錄的加密什麼什麼的,大概思路也就是把用戶名,密碼保存到Cookie裡同時將用戶信息保存到session裡,登錄以後來解碼驗證Cookie.
這種方式,如果Cookie被復制的話,基本就是無用功.最多也就是無法竊取密碼.
然後我考慮保存Cookie的同時,將JSESSIONID也保存到Cookie,這樣的話,在服務器不重啟的情況下,校驗JSESSIONID和Cookie中加密的JSESSIONID是不是匹配,匹配的話才實現自動登錄.
這種方式,服務器重啟以後就會生成新的JSESSIONID. 這種方式和僅僅只保存JSESSIONID到Cookie中好像也沒有太大的區別. 求指點.
是的。純屬多此一舉。
