解决方案 »
- 乱码问题 ...... (附自己简单分析)但没有解决!求助
- jsp里怎么取网站根目录?
- Eclipse即在Tomcat中,如何自动生成JSP页面后,让它可以访问?
- <td>大小设置后,单元格的显示不按已设置好的比例显示?如何设置!!!!
- 请指点一下 为什么老是显示????号啊!
- 用java 将数据库表中的内容导出成word文档
- 急! 关于java,jsp,word 编程[求助]
- 简单问题
- 关于JAVA EMAIL的问题!急!!!在线等!!!!多谢各位大虾了!!!
- javabean 简单问题在线等 解决马上给分
- 求一个ssh框架开发的登录增删改查的小程序,急急急!
- Spring Security 配置问题 不能拦截url
其实楼主说的这两种方式安全性基本上差距不大。
当然第二种方式里面的用户名和密码加密,用户名可以用可逆的加密方式,密码得用非可逆的加密方式。这样在这两种情况下,只要截获到cookie的话,都是可以进入系统的,都进入系统了,还可能获取不到用户名吗,自然也是可以获取的,所以公开了用户名也没有什么,毕竟密码是搞不定的。
如果搞定了密码,那也就意味着服务器被攻陷了,那也就没有安全性可言了。其实第一种做法就是变相的session了,只是把session中的数据放到缓存服务器了。这样确实很安全,但是他又想宕机之后也能用,那就必须得权衡了。