2

我已经阅读了很多问题,例如我的问题标题,但没有一个能给我解决方案。

我正在实现一个网站(使用 struts2 框架),但我不知道检查用户是否已经登录的最安全方法是什么。我的网站有支付功能,所以我真的应该小心这一点。

我读过的所有解决方案都是这样的:

// Is there a "user" object stored in the user's HttpSession?
    Object user = session.getAttribute (USER_HANDLE);
    if (user == null) {
        // The user has not logged in yet.
    }
    else {
       // the user has logged in
    }

我想知道是否有一些坏人可以创建一个像用户对象这样的假会话对象,然后可以在没有有效密码的情况下登录系统?

我也想知道是不是实践方法,在每个需要登录的页面,不只是检查用户对象不为空,还要检查数据库中的用户名和密码

4

2 回答 2

3

也许你应该使用像spring security或 Apache Shiro 这样的安全框架。

于 2013-01-14T01:25:56.200 回答
1

安全问题始终基于您的要求,简单来说就是您想要哪种安全性,因为关于 Web 有不同的安全层。但是正如您所提到的,您可以使用 Struts2-Interceptors 来实现这一点,因为它为您提供了在调用动作之前和之后执行一些基本操作的术语。例如参考这个链接

于 2013-01-14T06:24:34.403 回答