Здравствуйте, anl, Вы писали:

anl>Есть небольшой веб-портальчик для локальной сетки с самописным форумным jsp/servlet движком.
anl>Но в таком случае, каждый раз когда юзер заходит на форум, ему придется вводить логин/пароль заново, что довольно утомительно.
anl>Есть вариант, посылать в куках помимо sessionID также login/password_hash, но это как-то не очень секьюрно, да и лишная нагрузка на сеть.

почему-то ничего, кроме как перейти на сертификаты в голову не приходит. но движок удобств их генерации и раздачи будет сделать сложнее, чем логику с lastAccessTime

а вообще, не вижу большой проблемы — очень часто браузеры сами могут помочь "запомнить" пароль. да, странички с логином не избежать, но поля заполнит браузер, а пользователю останется только "ok" нажать