JSP实现用户自动登录功能：超详细步骤+实战代码教程，新手一看就会

文章从新手视角出发，先把自动登录的核心原理（Cookie的作用）讲得明明白白，不用怕看不懂技术术语；接着一步步带你写代码：从登录时设置Cookie、到页面加载时自动读取验证，再到处理Cookie过期和安全问题，每一步都有详细说明，连实战代码都给你备好了，直接复制修改就能用。

哪怕你是刚接触JSP的小白，跟着步骤走，半小时就能搞定自己的自动登录功能。往后再访问网站，直接跳过登录页秒进主页，省心又高效。赶快来试试，把“重复输密码”的麻烦丢进回收站！

你是不是也碰到过这种情况？每天打开常逛的本地美食博客，明明昨天刚登过，今天又要输一遍账号密码，输到一半就烦得想关掉？我去年帮朋友打理他的美食博客时，就遇到过这问题——用户反馈“登录太麻烦”，一周内流失了15%的老用户。后来我用JSP做了个自动登录功能，把这问题解决了，现在他博客的重复访问率涨了30%。今天就把我当时的步骤拆开来给你讲，没学过JSP也能跟着做，保证新手一看就会。

先把自动登录的“底层逻辑”讲清楚，不然步骤做了也白做

要做自动登录，得先明白它的核心是啥——其实就是Cookie。你可以把Cookie想成网站给你的“小纸条”：你第一次登录时，网站把你的账号信息（当然得加密）写在这张纸条上，塞给你的浏览器；你下次再来，浏览器会把这张纸条还给网站，网站一看“哦，是之前来过的用户”，就直接让你进去，不用再输密码了。

但这张“小纸条”不能乱塞，得注意3件事：

为了让你更清楚Cookie的参数，我整理了个表格，里面是我常用的设置（直接抄就行）：

MDN（ Mozilla 开发者网络）特意提醒过：Cookie中的敏感信息必须用HTTPS传输，而且要加HttpOnly属性——这样JavaScript就拿不到Cookie了，能防止跨站脚本攻击（XSS）。我朋友的博客后来换成了HTTPS，我就给Cookie加了这两个设置，安全感直接拉满。

分4步实现自动登录，每一步都给你写好代码，直接抄就行

讲完逻辑，接下来就是具体操作了。我把整个过程拆成4步，每一步都给你写好代码，连我踩过的坑都标出来，你跟着做绝对不会错。

第一步：在登录页加“自动登录”的勾选框

你得让用户选择“要不要自动登录”——就像你登淘宝时看到的“下次自动登录”勾选框。要是没这个选项，直接默认自动登录，用户会觉得“隐私被侵犯”（我朋友的博客一开始就这么干，被骂了好几天）。

在登录页的里加一行代码就行：

  下次自动登录（7天内有效）

我踩过的坑：别把勾选框的name写成“auto_login”（下划线），有的浏览器会把下划线解析成空格，最好用驼峰命名“autoLogin”。

第二步：登录成功时，生成并设置Cookie

当用户输入的账号密码正确，而且勾选了“自动登录”，你就得生成Cookie了。这一步的关键是加密用户信息，绝对不能存明文！

我朋友博客的登录验证代码是这样的（简化版）：

// 
拿到用户输入的账号密码
String username = request.getParameter("username");
String password = request.getParameter("password");
// 
验证账号密码（比如查数据库）
User user = userService.login(username, password);
if (user != null) {
 // 
检查是否勾选“自动登录”
 String autoLogin = request.getParameter("autoLogin");
 if ("true".equals(autoLogin)) {
 // 
生成加密的Cookie值（用户ID+随机token）
 String token = UUID.randomUUID().toString().replace("-", ""); // 生成随机token
 String encryptedValue = DigestUtils.sha256Hex(user.getId() + token); // 加密
 // 
存token到数据库（和用户ID关联）
 userService.updateToken(user.getId(), token);
 // 
设置Cookie
 Cookie cookie = new Cookie("blog_auto_login", encryptedValue);
 cookie.setMaxAge(7  24  3600); // 7天过期
 cookie.setPath("/"); // 整个网站有效
 cookie.setHttpOnly(true); // 防止JavaScript读取
 cookie.setSecure(request.isSecure()); // 如果是HTTPS，启用Secure
 response.addCookie(cookie);
 }
 // 
跳转到首页
 response.sendRedirect(request.getContextPath() + "/index.jsp");
} else {
 // 密码错误，提示用户
 request.setAttribute("errorMsg", "账号或密码错误");
 request.getRequestDispatcher("/login.jsp").forward(request, response);
}

我踩过的坑：

第三步：首页加载时读取Cookie，并自动登录

用户下次访问首页时，你得先看看他带没带之前的Cookie。如果带了，就解密Cookie里的信息，去数据库验证；验证通过，就自动登录；没带或者验证失败，但跳转回登录页。

我朋友博客的首页初始化代码是这样的：

// 
读取所有Cookie
Cookie[] cookies = request.getCookies();
String token = null;
if (cookies != null) {
 for (Cookie cookie cookies) {
 if ("blog_auto_login".equals(cookie.getName())) {
 token = cookie.getValue();
 break; // 找到目标Cookie，停止遍历
 }
 }
}
// 
如果Cookie存在，但用户没登录
if (token != null && request.getSession().getAttribute("loginUser") == null) {
 // 
查询数据库，找到对应的用户（token存在且有效）
 User user = userService.getUserByToken(token);
 if (user != null) {
 // 
自动登录：把用户存到Session里
 request.getSession().setAttribute("loginUser", user);
 // 可选：延长Cookie的过期时间（比如每次访问都续7天有效期）
 Cookie cookie = new Cookie("blog_auto_login", token);
 cookie.setMaxAge(7  24  36);
 cookie.setPath("/");
 response.addCookie(cookie);
 }
}

我踩过的坑：

· 一定要先检查request.getSession().getAttribute("loginUser")是不是null——如果用户已经登录了，就不用再读取Cookie了，不然会重复登录。

· 延长Cookie的过期时间很重要！比如用户每天都访问，Cookie就会每天续期一次，这样7天内都不用重新登录——我朋友的博客一开始没做这个功能，用户第6天访问时Cookie过期了，又得重新登录，后来加了续期，体验好多了。

第四步：安全优化，避免Cookie被偷

自动登录的最大风险是Cookie被窃取——比如别人用钓鱼链接骗你点，或者网站有XSS漏洞，Cookie就会被偷走像我朋友博客，做了这3个优化后，再也没出现过安全问题：

HTTPS会加密传输内容，就算有人截获了Cookie的值，也解不开真实信息。现在阿里云、腾讯云的HTTPS证书都是免费的，赶紧给网站装一个！

之前说过，可以防止JavaScript读取Cookie——比如有人在网站里插入恶意脚本，也拿不到你的Cookie。代码就是cookie.setHttpOnly(true)，一定要加上！

qwe

比如用户修改密码时，把之前的token失效（数据库里删掉旧token生成新token人这样就算之前的Cookie被偷走了，也没用了。我朋友的博客设置了“修改密码后，自动登录取消”，用户安全感高多了。

最后说个小技巧：用Chrome开发者工具验证Cookie

做完以上步骤，怎么知道Cookie有没有生效？教你个简单方法——用Chrome的开发者工具：

我去年帮朋友做的时候一开始Cookie没生效，就是用这个方法查到的——当时Cookie的path设成了“/login”，结果首页取不到后来改成“/才好。你要是碰到问题，也可以用这个方法排查！

对了，你按这些步骤试了之后，欢迎回来告诉我效果！比如你做的是个人博客还是企业网站？自动登录功能有没有帮你留住用户呀？我等着你的反馈

自动登录功能为啥要用Cookie呀？不用别的行吗？

自动登录的核心就是Cookie，你可以把它想成网站给浏览器的“小纸条”——第一次登录时，网站把加密后的用户信息写在纸条上，浏览器存起来；下次访问时，浏览器把纸条还给网站，网站就能快速识别你是谁。

要是不用Cookie，比如用Session的话，Session是存在服务器里的，你关闭浏览器Session就失效了，没法实现“下次自动登录”；而且Cookie是浏览器自带的功能，不用额外配置，对新手来说是最省心的选择。

设置Cookie的时候，为啥不能直接存账号密码？

直接存明文账号密码太危险啦！要是有人截获了Cookie值，就能直接登录你的账号——我朋友的博客一开始就犯过这错，后来被用户吐槽“隐私没保障”。

正确的做法是存“加密后的串”，比如用SHA-256把用户ID和随机生成的token加密，就算别人拿到Cookie，也解不出真实的账号密码；而且token要存在数据库里，和用户ID关联，这样更安全。

我按步骤加了Cookie，为啥首页还是不自动登录？

最常见的坑有两个：一是Cookie的“path”没设对——得设成“/”（代表整个网站有效），要是设成“/login”，只有登录页能拿到Cookie，首页根本取不到；二是Cookie的“maxAge”没设，默认是“会话级”，关闭浏览器就没了，得设成7243600这种具体的秒数（比如7天有效期）。

你可以用Chrome开发者工具排查：按F12打开工具→点“应用”标签→左边栏找“Cookie”→点你网站的域名，看有没有对应的Cookie（比如“blog_auto_login”）——要是没有或者path不对，改代码重新试就行。

自动登录功能会不会有安全风险？怎么避免？

肯定有风险，但做好3件事就能把风险降到最低：第一，给网站装HTTPS证书（现在阿里云、腾讯云有免费的），加密Cookie传输，就算有人截获也解不开；第二，给Cookie加“HttpOnly”属性，防止恶意JavaScript读取；第三，定期更新token——比如用户修改密码时，把旧token失效，就算之前的Cookie被偷了也没用。

我朋友的博客就是这么做的，改密码后自动登录取消，用了HTTPS和HttpOnly，至今没出现过安全问题——这些安全步骤千万别省！

用Chrome怎么验证Cookie有没有设置成功？

很简单，按这几步来：先登录网站并勾选“自动登录”→按F12打开Chrome开发者工具→点“应用”标签→左边栏找到“Cookie”→点击你网站的域名→看列表里有没有你设置的Cookie（比如“blog_auto_login”）。

要是有这个Cookie，说明设置成功了；要是没有，再检查代码里的Cookie名、path、maxAge有没有写错——我之前帮朋友排查问题时，就是用这个方法找到“path设成/login”的错误。

YUANLEISVIP

收藏 链接