注销后返回时验证用户

【问题标题】:Verify user when he come back after logout注销后返回时验证用户
【发布时间】:2011-05-24 16:39:34
【问题描述】:

我们正在使用 Struts 1.2 开发一个 Web 应用程序。在那个应用程序中,当用户按下注销时,它将注销用户,但是当他按下后退按钮时,它将带他进去,而不要求输入用户名和密码。同样,当我们在登录后给出页面的url时,它会在没有验证的情况下将他带进去。

我不知道如何解决这种安全问题。请指导我。

【问题讨论】:

  • 您是否在注销操作中破坏会话?
  • 你甚至使用会话来检查身份验证状态吗?
  • 页面是否来自缓存?即如果你回击然后刷新它会起作用吗?
  • 你在做什么认证?使用基本/摘要身份验证,您并没有真正将某人注销(它会在每个请求中不断发送身份验证数据)。

标签: java security tomcat struts-1


【解决方案1】:

您是如何实施注销操作的?如果您正在实现自己的(例如,不使用 Spring Security 等),您应该在用户注销时调用 session.invalidate();。当然,当您的用户点击后退按钮时,由于浏览器缓存(取决于如何实现注销操作),他们可能仍会看到该页面,但是当他们尝试访问安全页面时,他们将无法访问它。

【讨论】:

    猜你喜欢
    • 2018-07-08
    • 2013-07-18
    • 2018-06-17
    • 2015-01-06
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-06-04
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode