Authentication 检查用户是否已登录的最安全的方法是什么?
我读过很多问题,比如我的问题标题,没有一个能给我答案 我正在使用struts2框架实现一个网站,我不知道检查用户是否已经登录的最安全的方法是什么。我的网站有支付功能,所以我应该非常小心 我读过的所有解决方案都是类似的:Authentication 检查用户是否已登录的最安全的方法是什么?,authentication,logging,struts2,Authentication,Logging,Struts2,我读过很多问题,比如我的问题标题,没有一个能给我答案 我正在使用struts2框架实现一个网站,我不知道检查用户是否已经登录的最安全的方法是什么。我的网站有支付功能,所以我应该非常小心 我读过的所有解决方案都是类似的: // Is there a "user" object stored in the user's HttpSession? Object user = session.getAttribute (USER_HANDLE); if (user == null) {
// Is there a "user" object stored in the user's HttpSession?
Object user = session.getAttribute (USER_HANDLE);
if (user == null) {
// The user has not logged in yet.
}
else {
// the user has logged in
}
我还想知道的是它的实践方式,在每个需要登录的页面上,不仅仅检查用户对象是否为null,但是还要检查数据库中的用户名和密码?也许你应该使用像Apache Shiro这样的安全框架。也许你应该使用像Apache Shiro这样的安全框架。安全问题总是基于你的需求,简单来说就是你想要什么样的安全,因为web有不同的安全层。但正如您所提到的,您可以使用Struts2拦截器来实现这一点,因为它为您提供了在调用操作之前和之后执行一些基本操作的术语。例如,请参阅。安全问题始终基于您的需求,简单地说,就是您想要哪种安全,因为web有不同的安全层。但正如您所提到的,您可以使用Struts2拦截器实现这一点,因为它为您提供了在调用操作之前和之后执行一些基本操作的术语。例如,请参阅。为什么有人想结束我的问题?这是不是一个有效的问题或重复的地方?我没有投票,但我不确定这是非常建设性的:用户如何登录?什么是应用服务器?是什么让你认为Struts 2会被会话劫持?还要看看为什么有人想结束我的问题?这是不是一个有效的问题或重复的地方?我没有投票,但我不确定这是非常建设性的:用户如何登录?什么是应用服务器?是什么让你认为Struts 2会被会话劫持?也请查看