session和cookie都是用来存储信息的,区别是session是在服务器端存储信息,而cookie则是在浏览器端存储信息。
通常服务器端存储session,服务器端存储和获取session,一般情况下是比较安全的,不排除黑客侵袭的情况下。不过cookie的话,容易因为cookie欺骗而导致安全性问题。
当然了,现在因为token的流行和应用广泛,使用cookie也不怕安全性问题。
将用户信息存储到session中可以参考如下代码:
@PostMapping(value = "/login",produces="application/json;charset=utf-8") @SysLog(type="后台系统",action="登录功能",method="POST") @ApiOperation(value="登录",httpMethod="POST",notes="若登录后token未过期则返回原token,并按照预先定义的有效时间顺延,若过期则生成新token,有效期默认10小时") public JSONObject getLockPwd(@RequestParam String username, @RequestParam String password, HttpSession session,HttpServletResponse response) { //接收前台参数 logger.info("用户名:"+username); logger.info("密码:"+password); //调用查询逻辑 EntityWrapper<SysUser> wrapper = new EntityWrapper<SysUser>(); wrapper.eq("login_code", username); SysUser user = userService.selectOne(wrapper); JSONObject json = new JSONObject(); if(user != null && "0".equals(user.getStatus())) { //获取当前用户 Subject subject = SecurityUtils.getSubject(); //根据前台传的用户名和密码进行认证 UsernamePasswordToken token = new UsernamePasswordToken(username, password); try { //认证通过 subject.login(token); String encode = Base64.encode(user.getUserCode()); //Cookie有效期默认为8小时 int time=28800; //将Cookie加密为16进制字符串 CookieUtils.setCookie(response, "userCode", encode, time); user.setLastLoginDate(DateUtil.date()); userService.updateById(user); //将userCode放入session中保存 session.setAttribute("userCode", user.getUserCode()); json.put("token", subject.getSession().getId()); json.put(CommonEnum.RETURN_CODE, "000000"); json.put(CommonEnum.RETURN_MSG, "登录成功"); } catch (IncorrectCredentialsException e) { json.put(CommonEnum.RETURN_CODE, "111111"); json.put(CommonEnum.RETURN_MSG, "用户名或密码错误"); }catch (Exception e) { json.put(CommonEnum.RETURN_CODE, "222222"); json.put(CommonEnum.RETURN_MSG, "特殊异常"); } }else { json.put(CommonEnum.RETURN_CODE, "500"); json.put(CommonEnum.RETURN_MSG, "用户不存在"); } return json; }
关键就是session.setAttribute("userCode", user.getUserCode())这段代码
关于Cookie加密或者是用Cookie存储信息和清除Cookie,可以参考我的这篇文章:js之清除Cookie
如果获取session,参考如下代码:
HttpServletRequest request = ((ServletRequestAttributes)RequestContextHolder.getRequestAttributes()).getRequest(); //获取session String userCode = (String) request.getSession().getAttribute("userCode");
