网上说的很多自动登录的加密什么什么的,大概思路也就是把用户名,密码保存到Cookie里同时将用户信息保存到session里,登录以后来解码验证Cookie.
这种方式,如果Cookie被复制的话,基本就是无用功.最多也就是无法窃取密码.
然后我考虑保存Cookie的同时,将JSESSIONID也保存到Cookie,这样的话,在服务器不重启的情况下,校验JSESSIONID和Cookie中加密的JSESSIONID是不是匹配,匹配的话才实现自动登录.
这种方式,服务器重启以后就会生成新的JSESSIONID. 这种方式和仅仅只保存JSESSIONID到Cookie中好像也没有太大的区别. 求指点.