Jsp 使用J2EE的会话跟踪

我正在尝试在我的网站上实现会话跟踪。基本上，我希望用户能够登录到我的网站使用他们的用户名和密码，通过扔我的网站页面（只适用于登录用户），然后注销。 目前，我正在考虑什么是实现这一目标的正确架构。那么，这样做是否正确：使用一个servlet来验证用户是否已登录，或者该用户是否正在使用httpSession对象进行登录（类似于这里的示例：）。在登录尝试的情况下，servlet通过调用无状态会话bean（根据我的数据库验证用户名和密码）来验证用户名和密码

此外，每当用户希望“旅行”到我的网站上仅对登录用户可见的另一个页面时，请求必须转到servlet以验证用户是否登录，然后检索新页面

这样做对吗？如果没有，我如何才能做到这一点

非常感谢。

我对术语会话跟踪感到困惑，但我知道您希望允许用户访问受保护的资源

您需要的是为安全资源定义角色、身份验证提供者和映射。然后可以将其组合到web.xml中：

<security-constraint>
         <display-name>SecurityConstraint</display-name>
        <web-resource-collection>
              <web-resource-name>WRCollection</web-resource-name>
             <url-pattern>/*</url-pattern>
     </web-resource-collection>
        <auth-constraint>
              <role-name>TutorialUser</role-name>
        </auth-constraint>
        <user-data-constraint>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
   </security-constraint>
  <login-config>
        <auth-method>FORM</auth-method>
     <form-login-config>
              <form-login-page>/loginform.html</form-login-page>
             <form-error-page>/loginerror.html</form-error-page>
      </form-login-config>
 </login-config>
 <security-role>
    <role-name>TutorialUser</role-name>
</security-role>

安全培训
WRCollection
/*
详情请参阅。这是JEE的标准方式。
您可以使用servlet登录到应用程序

但是您需要一个过滤器来限制对安全页面的访问

每个请求都必须通过该筛选器。
您可以使用。它具有您需要的所有功能。Spring Security为基于J2EE的企业软件应用程序提供全面的安全服务

框架将根据在框架中完成的配置对用户进行身份验证和授权。并将在会话中自动保存用户状态。您不必明确地处理会话。
您的意思是这样的？