17370845950

Java简易登录系统采用Servlet+JDBC+Session实现，密码用BCrypt加盐哈希存储与校验，PreparedStatement防SQL注入，Session管理登录态并配置超时，退出时调用invalidate()彻底销毁会话。

Java实现简单用户登录系统，核心在于验证用户输入的账号密码是否与存储的信息一致，并合理管理会话状态。不依赖Spring Security等框架时，可用Servlet + JDBC + Session完成基础认证流程，重点是安全处理密码、防止SQL注入、控制会话生命周期。

用户信息存储与密码安全处理

不要明文保存密码。使用BCrypt或SHA-256加盐哈希（推荐BCrypt，它内置随机盐且抗暴力破解）。

• 注册时：用BCrypt.hashpw(password, BCrypt.gensalt())生成哈希值再存入数据库
• 登录时：用BCrypt.checkpw(inputPassword, storedHash)比对，不直接比较字符串
• 数据库字段建议用VARCHAR(60)以上，以兼容BCrypt输出长度

Servlet登录逻辑编写要点

在LoginServlet中接收表单参数，查询数据库并校验：

• 用PreparedStatement防止SQL注入，例如：SELECT id, username, password_hash FROM users WHERE username = ?
• 查到用户后，先校验密码，再检查账户状态（如是否禁用、是否过期）
• 校验通过则调用request.getSession().setAttribute("userId", userId)标记登录态
• 失败时统一返回错误提示，避免泄露“用户名不存在”或“密码错误”的具体信息

登录态校验与页面拦截

受保护资源（如主页、个人中心）需检查Session中是否存在有效用户ID：

• 可在每个Servlet开头写：Integer userId = (Integer) request.getSession().getAttribute("userId")
• 若为null，重定向到登录页：response.sendRedirect(request.getContextPath() + "/login.jsp")
• 更规范做法是写一个Filter，在doFilter()中统一判断并放行/跳转

退出登录与会话清理

退出操作不是简单删除Session属性，而是使整个Session失效：

• 在LogoutServlet中调用request.getSession().invalidate()
• 之后访问getSession()会新建Session，确保旧ID彻底作废
• 前端退出按钮提交GET请求即可，无需复杂交互

不复杂但容易忽略细节：密码校验必须用专用函数比对哈希，Session超时时间可在web.xml中配置30，单位为分钟。