在为网站实现“记住我”功能时,为什么我们使事情变得复杂,并且除了 session token 外还拥有一个名为“记住我” token 的 token 。
据我所知,切记我可以使用 token 登录并创建新的 session token ,而 session token 仅持续几分钟或直到用户关闭浏览器。
为什么我们不能将 session token 本身的有效期限增加到希望用户登录的期望时间?
我需要在运行于tomcat的基于Flex的应用程序中实现此类功能,我想知道是否需要记住我的 token
另外,是否有可能在tomcat中立即使用此功能?
最佳答案
1) session 通常包含除用户登录名以外的一堆数据。因此,如果像“记住我” token 那样将到期日期设置为数周或数月,则可能由于成千上万个重量级 session 对象而在服务器上遇到性能问题。
2)请记住, token 是客户端而不是服务器端。这将所有存储要求都放在用户的浏览器上,这对于诸如登录名之类的简单数据来说是一个更好的解决方案。如果依靠 session ID链接到服务器上的内存中对象,则每次重新启动服务器或服务器进程(例如,部署更新的应用程序)时,所有这些 session 对象都将丢失。
关于java - 为什么还记得我 token ?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/5314785/