我已经阅读了很多问题,例如我的问题标题,但没有一个能给我解决方案。
我正在实现一个网站(使用 struts2 框架),但我不知道检查用户是否已经登录的最安全方法是什么。我的网站有支付功能,所以我真的应该小心这一点。
我读过的所有解决方案都是这样的:
// Is there a "user" object stored in the user's HttpSession?
Object user = session.getAttribute (USER_HANDLE);
if (user == null) {
// The user has not logged in yet.
}
else {
// the user has logged in
}
我想知道是否有一些坏人可以创建一个像用户对象这样的假会话对象,然后可以在没有有效密码的情况下登录系统?
我也想知道是不是实践方法,在每个需要登录的页面,不只是检查用户对象不为空,还要检查数据库中的用户名和密码?