• 关于

    cookie存储登录信息吗

    的搜索结果

回答

用户将openid与业务帐号绑定一次,如何实现用户一直处于登录状态?更换手机后?方法1:将微信号认证一下,使用OAuth接口,每次进入之前通过接口获取到用户的openid,然后再从你的数据库去读取关系,写入用户登录状态。方法2:用户点击菜单或者发送关键词是可以获取到用户的openid的,此时返回一个链接或图文消息,用户点击之后用get方式获取到openid,然后再从你的数据库去读取关系,写入用户登录状态。商业产品正式使用推荐方法1。个人做着玩玩的话推荐方法2。用于网页授权用户信息的access_token是怎么缓存和维护的?存储在seesion吗?用于网页授权用户信息的access_token是必须要进行缓存的,这个每日有接口频率限制,所以你必须缓存这个。存在Memcache或redis等缓存服务,或者……你存到某个文件也行。session一般是用来做用户会话,放到这里不保证可用,或者说这么做很奇怪。其他朋友补充下吧。微信中session会话什么时候会失效?(比如PC端关闭浏览器)微信的session和PC没关系啊。。session什么时候过期这个说不来,和你服务器设置和微信自己都有关系吧我觉得。cookie的话微信有一种很奇怪的过期方式,在很久以前的旧版本里很无厘头,经常是关了窗口就关了。
蛮大人123 2019-12-02 02:02:25 0 浏览量 回答数 0

回答

我这边有另外一种方式处理负载均衡(不需要使用到session),楼主可以参考下 每个请求都需要携带一个token到后端进行验证,token代表了用户的信息,这个token是在登录的时候获取的,如果是PC,则存储在cookie里面,如果是手机(也存在某个地方,手机我没做过,哈哈)。非常感谢,以后可以使用这个方法看看. 你试试把session存储到redis上,这需要将tomcat的sessionmanager。之前我是把session存储到membercache上。你可以参考这个链接https://github.com/jcoleman/tomcat-redis-session-manager。我把session是存放到了redis上,在redis-cli里都能get到session,但是效果还是必须要登录才可以,不知道怎么回事这个链接应该是tomcat7的tomcat-redis-session-manager,你那边有tomcat6的么?可以分享一下么我认为可以使用自己创建Sessionid的方式,第一次访问时不存在就自己创建,同时保存到redis中,第二次及之后的访问,可以先从redis中读取,看是否存在登陆标记,如果存在就不需要再创建了。我之前搭了一个nginx+tomcat+memcached 负载均衡session共享。。 redis没搞过才搞过,你这种情况,显然是redis没能够session共享。你加入相应的jar包了吗? http://blog.csdn.net/u012186351/article/details/50608694
爱吃鱼的程序员 2020-06-10 10:23:33 0 浏览量 回答数 0

回答

传输安全只有https 客户端hash密码只是表明作为网站拥有者不想也不会记录原始密码是什么 上面那个链接我回复过, 不用ssl就算加密也没用, 任意节点伪造response,加上一段js就可以实现form submit的全局委托, 直接把你表单的明文数据转发到第三方上, 再加密提交也没用 ######服务端添加一个文件MD5验证过程,客户端用AJAX配合验证本页面是否在传输过程中有被改动的痕迹~!######回复 @somecold : 第一个问题我觉得花大力气还堵不死没什么必要, 普通geotrust, comodo的256bit加密的收费ssl也就单域几十块一年, 相对来说彻底多了; 第二个问题, 没有任何办法能防止非正常的web方式构造http请求。######这么说确实没法在传输层保证,不过用这种方式应该可以杜绝大部分小黑客吧? 另外请教下有办法防止重构http请求吗?就是限定只能通过网页进行登录###### 之前我发帖讨论过,可以参考一下 http://www.oschina.net/question/42741_51307 ###### 恩我看完了,leo108 你的想法就是说在登录的时候先去服务器获取一个token(token只能用一次)。 然后拿 token 和 MD5(明文密码) 进行MD5加密后传输(数据库存 MD5(明文密码)。 这样看来针对登录这部分应该能有效防止我说的情况。 但是我现在有另外一个想法 是不是可以有办法防止 即使得到密串,也没法重构HTTP请求,就是只能通过打开网页输入用户名和密码来登录,没办法通过组装一个url或者编程实现登录? ######回复 @七液 : 不是很明白,什么也可以clone?网上没搜到http clone嗅探相关资料,麻烦说详细点。######这个也可以clone,看一下http clone嗅探的相关资料就知道了######sha1解开的成本太高 ######解开的成本高######随机验证码+hash目前最合适的方法用完后一次性抛弃即可。rsa还需要和服务器通讯这就和https一样了######明白了,你说的是加sha的方式成本太高吧,那有什么好办法没呢######蟋蟀哥哥是说oschina采用的sha1成本太高,还是说我说的问题可以采用sha1但是成本太高?###### https://mail.qq.com/  (本人亲测) 在IE登录QQ邮箱,Wireshark抓取Cookie,停止Wireshark,断网重拨获取新的IP,在Firefox注入Cookie,成功登录QQ邮箱. QQ邮箱难道连IP都不认证? 能控制网关第一手就能拿到Cookie,先不说破解用户密码. 不过普通人怎么可能控制公网上的网关? 路由局域网内用arpspoof欺骗,开IP路由转发还有可能办成网关过滤用户信息. 除非能入侵公网上的网关,否则都不太现实. ######一直觉得腾讯强在用户体验,技术在它们的价值观应该不是第一位的。出现这种情况也正常吧###### 我在想用java/flash做成控件配合des之类的加密的方法在http上传输安全不? ###### 引用来自“熊猫与猫无关”的答案 我在想用java/flash做成控件配合des之类的加密的方法在http上传输安全不? 安全应能达到,但是这样与ssl相比,有优势吗 ###### 引用来自“somecold”的答案 引用来自“熊猫与猫无关”的答案 我在想用java/flash做成控件配合des之类的加密的方法在http上传输安全不? 安全应能达到,但是这样与ssl相比,有优势吗 证书年年需要续费这个算不算SSL的劣势 (我是纯属来捣乱的.....) ###### 我想可以这么做: 1. md5(pwd)做为key去加密(用户的信息+ip+有效时间范围),加密算法,可以是tea 2.服务器用md5(pwd)做为key去解密,之后校验用户的信息,ip和有效时间范围。 3.服务器存储的就是md5(pwd)
kun坤 2020-06-08 11:22:51 0 浏览量 回答数 0

阿里云爆款特惠专场,精选爆款产品低至0.95折!

爆款ECS云服务器8.1元/月起,云数据库低至1.5折,限时抢购!

问题

集群部署时的分布式 Session 如何实现?【Java问答学堂】59期

面试题 集群部署时的分布式 Session 如何实现? 面试官心理分析 面试官问了你一堆 Dubbo 是怎么玩儿的,你会玩儿 Dubbo 就可以把单块系统弄成分布式系统,然后分布式之后接踵而来...
剑曼红尘 2020-07-16 15:14:21 1335 浏览量 回答数 2

问题

Web测试方法

在Web工程过程中,基于Web系统的测试、确认和验收是一项重要而富有挑战性的工作。基于Web的系统测试与传统的软件测试不同,它不但需要检查和验证是否按照设计的要求运行,而且还要测试系统在不同用户的浏...
技术小菜鸟 2019-12-01 21:41:32 7022 浏览量 回答数 1

回答

http://ajaxpatterns.org/Timeout文章里面提到的方式应该是比较好的方案了,主要是在客户端处理,当即将超时时,给用户一个提示,让用户处理,当最后客户端真的超时时,再给用户一次机会处理。超时后停止掉ajax轮询,把超时信息发送给服务端,invalidate session。如果要采用自动地方式,需要捕捉鼠标,键盘事件。 ######请求每个模块时,session储存下最后一次操作时间,ajax模式获取数据时,服务器端判断下是不是ajax请求,是的话,服务器端看下session最后一次操作时间,不满足要求就清空,退出处理。 不要依赖系统设置的session存活时间,这个不靠谱 ###### 这位兄弟说的的确不失为一种做法。 不过我们这边的系统目前session超时只是依赖的web.xml里的配置的时间,不会放在程序里面写。因为必须做到随时能够修改时间。 我想寻找一种改动尽量小一点的,毕竟这是正式投入生产的系统,我的主管不会让我为了这么一个需求,在每个模块里面存时间。 这个问题换一种说法就是,既然说我点击每一个模块,tomcat都当做我是发起了一次请求,那么我如何做到ajax请求过来的时候,我不把它当做请求。可以有最简单的方法么。 开发语言是java,开发工具eclipse/tomcat @cgf986916 ######回复 @cgf986916 : 恩,我试试,非常感谢######单入口的话,更好弄了,入口处添加新session直接保存下最后操作时间,这个规则内做ajax请求判断,其他弄个包吧,引入下做个判断,或者做个拦截器也行,你自己看下那个符合你需求就行了。###### 大哥,你不会自己实现session啊。就是tomcat 里有个Set<userId> ajax不更新不完了。弄个拦截器。你也可以采用类似360的token机制。原理一样。 再一个方案是你弄个fiter。然后存用户最后时间,不合适的logout。哎目测你新手 ######恩,其实session这东西本身我就没弄太清楚。受教了######可以写一个全局的filter,在filter里存储session的最后一次操作时间啊,不必在每个模块里都写######我这边的要求是尽量不要有大的改动,因为访问量很大,如果加一个过滤器,会拦截每一次请求,又增添了系统的压力。 我听说有一种做法是直接在页面层套一个iframe还是什么的(只是听说),我现在必须是既完成任务,又要改动最小。###### 如果要求不是特别高的话,就在cookie里面加入时间戳,如果是ajax的话,时间戳就不加进去,这样也可用做判断。 ######这是最好的.###### 写一个filter 判断request的header是不是AJAX请求(X-Requested-With), ######当是AJAX请求的时候,不去确认登录与否######但是怎么才能让session不更新最后访问时间呢?######既然每隔两分钟就要扫表,干脆在后台做成定时任务好了,完全不需要前台的ajax来处理。管理员登录就开始这个Job,登出后就撤销。######回复 @liuxin : 非常感谢######回复 @龙王巴哈姆特 : 肯定不会啊,服务器端程序,并不需要登录或者请求的######扫完表以后要去更新页面导航上的一个数字,就跟QQ消息条数一样的。job做不到吧。 顺便问下,job扫表,容器会不会认为这也算一个操作行为,并认为这个session用户是活跃的? 本人初学,望多指点######找到解决方案了,你用一个JSP来实现这个扫表的功能,在JSP的开头加上<%@ page session="false" %>,这样就把session功能关闭了,不管你请求多少次,都不影响现有的用户。亲测可行。###### @antipro 这个头的作用是1.该JSP无法直接访问内置session变量 2.不会自动创建session。我试过ajax 2分钟扫一次,设置session超时是3分钟。我等了5分钟后,session仍然没有过期。这个头并不能阻止ajax在请求的时候自动记录session最后更新时间。 并且还有另外一个问题,就是我这里的ajax,是跟用户名,修改密码,退出一起的如下图: 代码结构大致是一个ul,li结构 <ul> <li>用户名XXX</li> <li>风险交易XXX</li> <li>修改密码</li> <li>退出</li> </ul> ,我把代码都放在一个JSP里面,然后include去了“风险交易”那个li里面,并加上了头<%@ page session="false" %>结果我发现整个页面都不能使用session变量了。导致我的用户名也显示不出来了。 昨天说的最多的加一个Filter也被我的主管无情的否决掉了。不管这个问题最后解决没,还是希望朋友们多交流,能让我多多学习下。 session超时的一篇文章: http://zmx.iteye.com/blog/1846181   ######回复 @龙王巴哈姆特 : 你用的是include指令包含的子页面?这样恐怕不行。######回复 @antipro : 我测试的时候,确实是只让那个jsp页面返回18,丢在我那个li里面,我试过了不行。并且外层页面也不能使用session变量了。跟他同级的用户名就是取的session VO里的数据也失效了。这种定时扫表,并且之后要更新页面数字的,除了用ajax还有更好的选择吗?######你怎么把整个页面都用来实现你的功能了,我设想的JSP只要返回一个18就可以了,其他内容都还是用原来的功能啊。######我不知道你是怎么测试的,但是我亲自测试了是正常的。至于不能用session的问题,禁止了session当然不能再用了,难道就没有其他的方法访问你要的数据了吗?要灵活处理啊。
爱吃鱼的程序员 2020-06-01 11:08:14 0 浏览量 回答数 0

问题

程序员报错行为大赏-配置报错

Maven本地仓库配置报错:配置报错  GO语言配置什么的都没问题,但就是LiteIDE配置不好。。。:配置报错  Maven 配置nexus仓库 POM文件报错:配置报错  10个你可能从未用过的PHP函数:配置报错  QT...
问问小秘 2020-06-11 13:18:25 6 浏览量 回答数 1

问题

【精品问答】python技术1000问(1)

为了方便python开发者快速找到相关技术问题和答案,开发者社区策划了python技术1000问内容,包含最基础的如何学python、实践中遇到的技术问题、python面试等维度内容。 我们会以每天至少50条的...
问问小秘 2019-12-01 21:57:48 456417 浏览量 回答数 22

云产品推荐

上海奇点人才服务相关的云产品 小程序定制 上海微企信息技术相关的云产品 国内短信套餐包 ECS云服务器安全配置相关的云产品 开发者问答 阿里云建站 自然场景识别相关的云产品 万网 小程序开发制作 视频内容分析 视频集锦 代理记账服务 阿里云AIoT