我有一个非常基本的登录表单,它接受用户名和密码。提交数据时,控制器类实质上验证用户名和密码,如果凭据正确,则将用户转发到位于 java EE 项目的 WEB-INF 中的 membersOnly.jsp。由于 WEB-INF 中的内容只能通过转发而不是重定向来访问,我假设有人可以访问此信息的唯一方法是通过服务器端转发。
我的问题是,这种方法有多安全,我应该使用其他形式的安全吗?
问问题
426 次
2 回答
3
您正在使用某种基于自定义的身份验证,但Java EE 标准定义了几种身份验证机制:
- HTTP 基本身份验证
- 基于表单的身份验证
- HTTPS 客户端身份验证
使用基于表单的身份验证,您仍然可以使用自定义表单,并将密码验证委托给您的 Java EE 容器。几乎每个供应商都提供针对 LDAP 服务器、数据库表和其他存储库的凭据验证。
于 2012-04-14T02:03:56.140 回答
2
大多数容器将为您处理身份验证。
例如,使用 Glassfish,您可以简单地告诉容器哪个数据库表包含用户和密码。
它会为你做剩下的事情。
您还可以让容器控制对不同页面的访问。
希望这可以帮助。
于 2012-04-13T21:34:13.907 回答