Java用户管理安全实现_Java_Security_Session_Cookies

Java用户管理安全实现

java security session cookies

Java用户管理安全实现,java,security,session,cookies,Java,Security,Session,Cookies,我正在实现一个用户登录系统，只想让社区运行我的安全问题我计划在创建用户帐户时使用Java的PBKDF2对用户密码/salt进行加密并将其存储在数据库中。当然，一切都将通过HTTPS完成。我使用的资源包含了实际的源代码，记录了如何实现这个功能，我将在问题的末尾包含这个链接进入“记住我”功能。实施这一点的正确方法是：在登录时生成UUID会话密钥，将密钥存储在数据库中，将密钥存储在cookie的客户端创建新会话时，从cookie中获取密钥，与数据库进行比较，创建一个新密钥并在客户端将其还原这

我正在实现一个用户登录系统，只想让社区运行我的安全问题

我计划在创建用户帐户时使用Java的PBKDF2对用户密码/salt进行加密并将其存储在数据库中。当然，一切都将通过HTTPS完成。我使用的资源包含了实际的源代码，记录了如何实现这个功能，我将在问题的末尾包含这个链接

进入“记住我”功能。实施这一点的正确方法是：

在登录时生成UUID会话密钥，将密钥存储在数据库中，将密钥存储在cookie的客户端

创建新会话时，从cookie中获取密钥，与数据库进行比较，创建一个新密钥并在客户端将其还原

这里是否存在任何安全漏洞？我知道很多资源建议将用户ip地址存储在会话密钥旁边，如果ip不匹配，则使密钥无效。如果用户来自移动网络，ip不是经常变化吗？即使在wifi上，这些天似乎大多数应用程序都没有使用ip验证？比如说你的动态ip改变，像Gmail这样的应用程序不会让你注销，是吗

资源：

在Java中存储安全密码：

在Java中实现“保持登录”：

Spring安全性支持所有这些以及更多内容——请查看，不要重新发明轮子！我不能在我的应用程序中使用Spring。似乎Java已经将大部分这类东西都融入其中了。不一定要重新发明轮子？