0

我正在使用这种方法来验证登录表单。

index.jsp-> 包含<form action=login.jsp method="post">-> 提交值 -> login.jsp-> 如果登录成功 -> response.sendRedirect("index.jsp?valid=1");-> 如果没有 ->response.sendRedirect("index.jsp?valid=0");

但是,任何用户都可以简单地键入 index.jsp?valid=1 作为 URL,然后他就会“登录”,这是正确的方法吗?如果是,我怎么能禁止某人操纵这些 URL。

4

3 回答 3

1

由于您使用的是 .jsp,因此您处于 Java EE 范式中。Java EE 提供基本和基于表单的身份验证模型。您需要使用其中一种模型来实现对系统的安全登录。

这是一个教程:

http://www.informit.com/articles/article.aspx?p=26139&seqNum=3

如果你想使用 Spring System,这里是教程:

http://static.springsource.org/spring-security/site/tutorial.html

于 2012-07-31T20:16:04.430 回答
0

我们大多数人使用 cookie 进行身份验证,而不是任何人都可以破解的 URL 参数。

于 2012-07-31T19:08:51.947 回答
0

不,这不是正确的方法,不,您不能限制用户。我的意思是,这怎么可能?

此信息应存储在会话中的服务器端。

除非您是为了自己的学习而这样做,否则我认为您不应该手动编写身份验证/授权代码,有很多库在这样做,使用它们不仅更容易而且更安全。

于 2012-07-31T19:09:22.270 回答