的Java Play2 - 从会话使用网站

Question

UPDATE1：

能给我如何在play2管理cookie和session很短的例子吗？ （记住我的功能）

好吧我想我理解播放验证背后的主要概念。

Zentasks使用会话。我知道会话只存储在服务器上。 Play2中的会话已经签名。饼干不是。

如果用户希望即使他关闭浏览器也要登录，该怎么办？

我需要使用cookie。

我该怎么办？

我是否创建了一个创建会话的cookie？

例如

• 用户有一个有效的cookie
• 得到饼干VAL并创建一个新的会话

还是我完全丢弃会话并只用饼干代替。因为cookie不是由play2自动签名的，所以我必须自己做，我也是这么做的。

response().setCookie("remember",Crypto.sign(rnd) + "-" + obj.getClass().getName() + "-" + rnd,12000); 

（我知道我没有做它用安全和http仅标志又安全）

我只是不希望发明一种新的和有缺陷的系统。我希望你能为我清楚如何在play2中进行身份验证。

Answer 1

这对我帮助很大

http://bazaar.launchpad.net/~opensource21/permsec/trunk/view/head:/psec/app

Answer 2

在玩的session scope无非是签署（安全）饼干

从上面的文档（和它们存储在客户端的，不服务器端！）：

了解这一点很重要该会话和闪存数据不是 存储在服务器中，但被添加到每个后续HTTP请求， 使用Cookie。

因此，您可以通过检查session scope's key是否存在并匹配您的任何用户来保留logged in状态。

事实上的会话范围不会自动到期，所以你的用户会logged in，直到他将在logout行动点击链接（在你只需要销毁会话的密钥）（只在某些浏览器）