आप सत्र कुकीज़ को कब तक रखते हैं?

Question

मैं एक वेब ऐप लागू कर रहा हूं, जो सत्रों का उपयोग करता है। मैं अपने क्लाइंट/सर्वर के रूप में जीडब्ल्यूटी और ऐप इंजन का उपयोग कर रहा हूं, लेकिन मुझे नहीं लगता कि वे PHP और अपाचे आदि के साथ कुछ भी अलग कर रहे हैं।

जब कोई उपयोगकर्ता मेरे वेब ऐप में लॉग इन करता है, मैं उनके लिए एक सत्र शुरू करने के लिए HttpSession का उपयोग कर रहा हूँ। मैं इस तरह सत्र id मिलती है:

// From my login servlet: 
getThreadLocalRequest().getSession(false).getId(); 

मैं ग्राहक को वापस sessionId लौटने के लिए, और वे एक कुकी में संग्रहीत। ट्यूटोरियल मैं 'की समय सीमा समाप्त' करने के लिए इस कुकी समूह उपयोग कर रहा हूँ दो सप्ताह में:

Cookie.write("sid", theSessionId, 1000 * 60 * 60 * 24 * 14); // two weeks 

यहाँ है जहाँ मैं उलझन में हूँ: कुकी दो सप्ताह में समाप्त हो रहा है, तो मेरे उपयोगकर्ता webapp खुशी का उपयोग कर के साथ जाना होगा, केवल एक दिन में मेरी साइट पर ब्राउज़ करें और लॉगिन स्क्रीन दिखाएं। मेरे विकल्प क्या हैं? क्या मैं इस कुकी के लिए अभी कोई समाप्ति समय निर्धारित नहीं कर सकता? इस तरह उपयोगकर्ता को स्पष्ट रूप से लॉग आउट करना होगा, अन्यथा वे वापस लॉग इन किए बिना हमेशा ऐप का उपयोग कर सकते हैं?

या ऐसा करने का कोई बेहतर तरीका है? मुझे ट्विटर जैसी साइटों को याद नहीं किया जा रहा है, जिन्होंने कभी मुझे फिर से लॉग इन करने के लिए कहा है। मुझे स्थायी रूप से लॉग इन होना प्रतीत होता है। क्या वे अभी कोई समाप्ति नहीं करते हैं?

वेबपैप किसी भी प्रकार के अत्यधिक संवेदनशील डेटा की रक्षा नहीं कर रहा है, इसलिए मुझे कोई कुकी छोड़ने पर कोई फर्क नहीं पड़ता है, लेकिन ऐसा लगता है कि एक बेहतर तरीका होना चाहिए?

http://code.google.com/p/google-web-toolkit-incubator/wiki/LoginSecurityFAQ

धन्यवाद

Answer 1

HttpSession दृश्यों को पहले से ही एक कुकी द्वारा समर्थित पीछे है:

इस ट्यूटोरियल मैं संदर्भित कर रहा हूँ है। jsessionid नाम वाले ब्राउज़र के लिए ब्राउज़र कुकी सूची देखें। इसके अलावा, एक उदाहरण प्राप्त करते समय, आपको getSession() पर false के बिना कॉल करना चाहिए, अन्यथा आपको NullPointerException का जोखिम हो सकता है जब यह अभी तक नहीं बनाया गया है और इस प्रकार null वापस आ जाएगा।

जब आप लॉगिन करते हैं, तो आप आम तौर पर सत्र में User में लॉग इन करते हैं।

User user = userDAO.find(username, password); 
if (user != null) { 
    session.setAttribute("user", user); 
} else { 
    // Handle error "Unknown username/password combo." 
} 

तुम बस सत्र में अपनी उपस्थिति की जाँच करके User में लॉग इन पर अपने WebApplication अवरोधन दे सकते हैं। उदाहरण के लिए Filter में जो आप सुरक्षित पृष्ठों को अवरोधित करने के लिए उपयोग करना चाहते हैं।

if (session.getAttribute("user") == null) { 
    response.sendRedirect("login"); 
} else { 
    chain.doFilter(request, response); 
} 

HttpSession 30 मिनट के एक डिफ़ॉल्ट टाइमआउट सबसे webcontainers में है। दूसरे शब्दों में, यह अंतिम अनुरोध के 30 मिनट बाद समाप्त हो जाएगा। यह web.xml में configureable इस प्रकार है:

<session-config> 
    <session-timeout>10</session-timeout> 
</session-config> 

कहाँ टाइमआउट मिनट (इस प्रकार ऊपर के उदाहरण में 10 मिनट) में है।

आप एक (स्वचालित) "मुझे इस कम्प्यूटर पर याद रखें" विकल्प प्रदान करना चाहते हैं, तो आप एक और पहचानकर्ता के साथ एक और कुकी बनाना है।मैंने पहले एक उत्तर पोस्ट किया है जो इसके बारे में विस्तार से है: Java - How do I keep a user logged into my site for months?