关于登陆和留言板这两块设计的讨论

登陆这块：
1.登陆这块我想知道，成功登陆了之后会在Session域里面存放你的用户名和密码么？？？其他页面用session来判断是否已经登陆了？还是怎么的
个人觉得 session存放用户名，访问权限等，一般不会存放密码，存了也没啥用。你访问的页面可能需要用户名或者验证访问权限，可以直接从session中取出再比较，但是页面中一般不会再需要验证密码了。
2.登陆之后，要保存一段时间的话，是用cookie么？？如果我这边登陆了我的账号，其他人电脑要登陆，怎么提示他已经登陆，是用application域来存放已经登陆的用户么？
session是有默认时效的，一般30min，cookie也可以设置的。session在服务器端会自动保留设置时间的。关于如何验证，我也不太清楚，但个人觉得应该不是存在application中，因为application中存的资源有限，是比较宝贵的资源。
3.如果这两个问题都是这样，那么如果Session域里自己弄一个用户名和密码进去，是否就可以伪造已经登陆？？？
如果用application域来存放已经登陆的用户的话，那么用户如果不按“注销”按钮，直接关掉了浏览器的话，这个用户是不是还挂在application域里面？？还是说需要有个什么东东来监听他是否已经“失去了连接”
关掉浏览器是肯定还在application中的。

楼主想的有点复杂吧...既然是初学者，同为初学者的我有不同的想法。
1，做登陆，你要把用户信息放到application中你不觉得搞得有点大么？如果判断用户有没有在其他地方登陆你可以用一个标识位标识是否登陆
2，session存放的信息可以有很大的作用但是也存在风险
3，cookie的确可以保存你的登陆时间
留言板：
  留言板的实现你可以参考一下某些贴吧的做法，自己模拟尝试着做

服务器会为每个登录用户保存session,相当于个hashmap，保存在内存中的，这个hashmap的key就是sessionId，当用户登录后，下次的每次请求都会在http头部加上这个sessionid，从而找到这个session。
  session中可以保存用户信息，或者自定义，看你的系统需要啥了。如果本地要保存cookie的话让用户下次自动登录，那肯定是要在cookie中保存用户名，用户密码了。
  至于实现已经登录，一般都是系统另外单独处理。比如用单例模式保存个用户的hashmap，key保存用户名，value保存用户登录状态，每次登录验证的时候去查找这个hashmap即可。
   对于留言板模块，我首先想到是在页面用js控制就可以实现1分钟后再能回复，但是考虑到页面关闭后再打开去回复，那应该只能在服务端处理了。那就在用户每次回复后保存当前系统时间到session中，下次回复时比对，如果小于1分钟，返回，反之，保存内容并更新session。
  这样应该差不多了吧。不用客气

我帮你详细解答下，记得多给我点分。

【登录】
1. 你说的方式out了，现在一般权限过滤，都是根据你的路径来判断是否登录，
   用过写一个过滤器来，判断该路径是否合法，否则跳转到登录页面；
2. 一般来说，一个帐号可以被多个人同时在多个地方登录。如果你要做到单一登录，
   即一个帐号同时，只能被一个用户登录，则需要做额外的判断，比如你可以记录
   该帐号当前登录ip，时间，次数等，也或者直接把登录后的帐号存在application对象中， 这样，下次再有人登录，就通过去application对象里面查找来判断是否当前有人登录

3. session是服务器端控制，你单凭一个ie浏览器，是无法伪造登录的，另外application
   只要你服务器不停，就一直生效。

【留言板】
1. 你记录留言的时候，把当前时间记录下来，下次再记录第二条留言时候，将当前时间
   和上条留言时间比较，一分钟之内，则不让它留言，反之让他留言
2. 管理员和普通用户留言，是没有区别的，那是权限控制的事了。你可以这样设计
   id,fromUser,toUesr,title,content,对应含义分别为，主键，来自谁的留言，给谁的留   言，标题，内容

这个问题问度娘

我帮你详细解答下，记得多给我点分。

【登录】
1. 你说的方式out了，现在一般权限过滤，都是根据你的路径来判断是否登录，
   用过写一个过滤器来，判断该路径是否合法，否则跳转到登录页面；
2. 一般来说，一个帐号可以被多个人同时在多个地方登录。如果你要做到单一登录，
   即一个帐号同时，只能被一个用户登录，则需要做额外的判断，比如你可以记录
   该帐号当前登录ip，时间，次数等，也或者直接把登录后的帐号存在application对象中， 这样，下次再有人登录，就通过去application对象里面查找来判断是否当前有人登录

3. session是服务器端控制，你单凭一个ie浏览器，是无法伪造登录的，另外application
   只要你服务器不停，就一直生效。

【留言板】
1. 你记录留言的时候，把当前时间记录下来，下次再记录第二条留言时候，将当前时间
   和上条留言时间比较，一分钟之内，则不让它留言，反之让他留言
2. 管理员和普通用户留言，是没有区别的，那是权限控制的事了。你可以这样设计
   id,fromUser,toUesr,title,content,对应含义分别为，主键，来自谁的留言，给谁的留   言，标题，内容

Quote: 引用 2 楼 Giberson1 的回复:

我帮你详细解答下，记得多给我点分。

【登录】
1. 你说的方式out了，现在一般权限过滤，都是根据你的路径来判断是否登录，
   用过写一个过滤器来，判断该路径是否合法，否则跳转到登录页面；
2. 一般来说，一个帐号可以被多个人同时在多个地方登录。如果你要做到单一登录，
   即一个帐号同时，只能被一个用户登录，则需要做额外的判断，比如你可以记录
   该帐号当前登录ip，时间，次数等，也或者直接把登录后的帐号存在application对象中， 这样，下次再有人登录，就通过去application对象里面查找来判断是否当前有人登录

3. session是服务器端控制，你单凭一个ie浏览器，是无法伪造登录的，另外application
   只要你服务器不停，就一直生效。

【留言板】
1. 你记录留言的时候，把当前时间记录下来，下次再记录第二条留言时候，将当前时间
   和上条留言时间比较，一分钟之内，则不让它留言，反之让他留言
2. 管理员和普通用户留言，是没有区别的，那是权限控制的事了。你可以这样设计
   id,fromUser,toUesr,title,content,对应含义分别为，主键，来自谁的留言，给谁的留   言，标题，内容

谢谢你的回复，感觉你的回答让我了解了一些
但是可以详细回答你说的这个问题么

1. 你说的方式out了，现在一般权限过滤，都是根据你的路径来判断是否登录，
   用过写一个过滤器来，判断该路径是否合法，否则跳转到登录页面；

Quote: 引用 2 楼 Giberson1 的回复:

我帮你详细解答下，记得多给我点分。

【登录】
1. 你说的方式out了，现在一般权限过滤，都是根据你的路径来判断是否登录，
   用过写一个过滤器来，判断该路径是否合法，否则跳转到登录页面；
2. 一般来说，一个帐号可以被多个人同时在多个地方登录。如果你要做到单一登录，
   即一个帐号同时，只能被一个用户登录，则需要做额外的判断，比如你可以记录
   该帐号当前登录ip，时间，次数等，也或者直接把登录后的帐号存在application对象中， 这样，下次再有人登录，就通过去application对象里面查找来判断是否当前有人登录

3. session是服务器端控制，你单凭一个ie浏览器，是无法伪造登录的，另外application
   只要你服务器不停，就一直生效。

【留言板】
1. 你记录留言的时候，把当前时间记录下来，下次再记录第二条留言时候，将当前时间
   和上条留言时间比较，一分钟之内，则不让它留言，反之让他留言
2. 管理员和普通用户留言，是没有区别的，那是权限控制的事了。你可以这样设计
   id,fromUser,toUesr,title,content,对应含义分别为，主键，来自谁的留言，给谁的留   言，标题，内容

谢谢你的回复，感觉你的回答让我了解了一些
但是可以详细回答你说的这个问题么

1. 你说的方式out了，现在一般权限过滤，都是根据你的路径来判断是否登录，
   用过写一个过滤器来，判断该路径是否合法，否则跳转到登录页面；

Quote: 引用 15 楼 u011133213 的回复:

Quote: 引用 2 楼 Giberson1 的回复:

我帮你详细解答下，记得多给我点分。

【登录】
1. 你说的方式out了，现在一般权限过滤，都是根据你的路径来判断是否登录，
   用过写一个过滤器来，判断该路径是否合法，否则跳转到登录页面；
2. 一般来说，一个帐号可以被多个人同时在多个地方登录。如果你要做到单一登录，
   即一个帐号同时，只能被一个用户登录，则需要做额外的判断，比如你可以记录
   该帐号当前登录ip，时间，次数等，也或者直接把登录后的帐号存在application对象中， 这样，下次再有人登录，就通过去application对象里面查找来判断是否当前有人登录

3. session是服务器端控制，你单凭一个ie浏览器，是无法伪造登录的，另外application
   只要你服务器不停，就一直生效。

【留言板】
1. 你记录留言的时候，把当前时间记录下来，下次再记录第二条留言时候，将当前时间
   和上条留言时间比较，一分钟之内，则不让它留言，反之让他留言
2. 管理员和普通用户留言，是没有区别的，那是权限控制的事了。你可以这样设计
   id,fromUser,toUesr,title,content,对应含义分别为，主键，来自谁的留言，给谁的留   言，标题，内容

谢谢你的回复，感觉你的回答让我了解了一些
但是可以详细回答你说的这个问题么

1. 你说的方式out了，现在一般权限过滤，都是根据你的路径来判断是否登录，
   用过写一个过滤器来，判断该路径是否合法，否则跳转到登录页面；

看看这个http://blog.csdn.net/shadowsick/article/details/8572467
还有这个spring security3 自定义权限管理 http://blog.csdn.net/shadowsick/article/details/8575062

Quote: 引用 6 楼 u012201996 的回复:

服务器会为每个登录用户保存session,相当于个hashmap，保存在内存中的，这个hashmap的key就是sessionId，当用户登录后，下次的每次请求都会在http头部加上这个sessionid，从而找到这个session。
  session中可以保存用户信息，或者自定义，看你的系统需要啥了。如果本地要保存cookie的话让用户下次自动登录，那肯定是要在cookie中保存用户名，用户密码了。
  至于实现已经登录，一般都是系统另外单独处理。比如用单例模式保存个用户的hashmap，key保存用户名，value保存用户登录状态，每次登录验证的时候去查找这个hashmap即可。
   对于留言板模块，我首先想到是在页面用js控制就可以实现1分钟后再能回复，但是考虑到页面关闭后再打开去回复，那应该只能在服务端处理了。那就在用户每次回复后保存当前系统时间到session中，下次回复时比对，如果小于1分钟，返回，反之，保存内容并更新session。
  这样应该差不多了吧。不用客气

这个想法不错...不知道做web的企业项目里是否也是这样干的！！

Quote: 引用 1 楼 ifvlr 的回复:

登陆这块：
1.登陆这块我想知道，成功登陆了之后会在Session域里面存放你的用户名和密码么？？？其他页面用session来判断是否已经登陆了？还是怎么的
个人觉得 session存放用户名，访问权限等，一般不会存放密码，存了也没啥用。你访问的页面可能需要用户名或者验证访问权限，可以直接从session中取出再比较，但是页面中一般不会再需要验证密码了。
2.登陆之后，要保存一段时间的话，是用cookie么？？如果我这边登陆了我的账号，其他人电脑要登陆，怎么提示他已经登陆，是用application域来存放已经登陆的用户么？
session是有默认时效的，一般30min，cookie也可以设置的。session在服务器端会自动保留设置时间的。关于如何验证，我也不太清楚，但个人觉得应该不是存在application中，因为application中存的资源有限，是比较宝贵的资源。
3.如果这两个问题都是这样，那么如果Session域里自己弄一个用户名和密码进去，是否就可以伪造已经登陆？？？
如果用application域来存放已经登陆的用户的话，那么用户如果不按“注销”按钮，直接关掉了浏览器的话，这个用户是不是还挂在application域里面？？还是说需要有个什么东东来监听他是否已经“失去了连接”
关掉浏览器是肯定还在application中的。

谢谢,感觉说得不错!你在第一点里面说的 验证访问权限的话 是怎么回事？可以详细说说么

不好好学,问这么低智商的问题

强烈建议改行吧, 我多希望少个同行啊,更是那种, 什么什么对手,什么什么队友那句一样~

真的是知识帖啊  学习了

Quote: 引用 31 楼 BlackKOL 的回复:

不好好学,问这么低智商的问题

强烈建议改行吧, 我多希望少个同行啊,更是那种, 什么什么对手,什么什么队友那句一样~

首先，我想问下你，对于我问的问题，你都会了么？？还有，我也有句话想跟你讲！
就是那个什么站着说话不腰疼，装逼遭雷劈之类的，也许你很厉害，也许你是大牛，大家在这里讨论，你不屑，那么请你悄悄爬开！！！只会说不会做，这行的悲哀！！

.net里面有一种叫做票证。form验证，通过票证。
如果是java的话，那就用session保存登录后的用户的信息，
你要知道session的级别，就是在关掉浏览器，这个session就不存在了。
也可以设置session的过期时间。


2.登陆之后，要保存一段时间的话，是用cookie么？？如果我这边登陆了我的账号，其他人电脑要登陆，怎么提示他已经登陆，是用application域来存放已经登陆的用户么？

保持登录状态确实是需要cookies。
关于其他人电脑要登录，怎么提示已经登录，
事实上，很多网站，包括一些业务系统都没有这个限制的。
当然了，也有。目前最好的办法就是发心跳包，如果服务器有接受到当前用户发送的心跳包，那么，当前用户是在线的，别的电脑不能登录；
如果服务器长时间没有收到心跳包，那么就可以判定这个用户已经离线。


留言的话，表设计简单、大致可以这样：

--主题

CREATE TABLE [dbo].[Topic](

	[id] [int] IDENTITY(1,1) NOT NULL,

	[topic] [nvarchar](200) NOT NULL,

	[content] [text] NOT NULL,

 CONSTRAINT [PK_Topic] PRIMARY KEY CLUSTERED 

(

	[id] ASC

)WITH (PAD_INDEX  = OFF, STATISTICS_NORECOMPUTE  = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS  = ON, ALLOW_PAGE_LOCKS  = ON) ON [PRIMARY]

) ON [PRIMARY] TEXTIMAGE_ON [PRIMARY]



--回复

CREATE TABLE [dbo].[Comment](

	[id] [int] IDENTITY(1,1) NOT NULL,

	[type] [int] NULL,

	[parentid] [int] NOT NULL,

	[commentuser] [nvarchar](50) NOT NULL,

	[commenttext] [text] NOT NULL,

	[commentreply] [text] NULL,

	[commentdate] [datetime] NOT NULL,

	[commentip] [nvarchar](20) NOT NULL,

 CONSTRAINT [PK_Comment] PRIMARY KEY CLUSTERED 

(

	[id] ASC

)WITH (PAD_INDEX  = OFF, STATISTICS_NORECOMPUTE  = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS  = ON, ALLOW_PAGE_LOCKS  = ON) ON [PRIMARY]

) ON [PRIMARY] TEXTIMAGE_ON [PRIMARY]