JAVAWEB servlet和jsp的权限访问控制

 

 

 

要想防止用户直接访问某个页面,那么就需要要求他带着session来访问,我们才让他访问,所以登录时设置的session就用上了

 

 

 

 

在用户没有session时,访问servlet或者jsp时直接重定向页面到首页

这样他就不能在没有session的时候访问到我们的某些需要登录态的页面了

例如个人信息面板、个人仓库等

 

servlet

 

jsp

 

 

容易出现的混淆错误:

这里有个容易和servlet、jsp权限控制相混淆的错误,

因为空值登录而误判断为是session处理有问题:空值登录导致可以直接登录后访问servlet或者jsp

所以要拒绝空值登录: http://www.cnblogs.com/kinome/p/8005533.html

 

 

2018/5/3 更新:

现在用的session的方式是通过登录验证用户名和密码后,通过用户名和密码获取uid写入session,作为全局uid使用,所有操作都是以uid为主线,实现用户权限操作等控制。

 

获取用户名和密码:

 

通过用户名和密码查询到uid后写入session:

 

posted @ 2017-12-08 15:59  由良大小姐  阅读(4921)  评论(0编辑  收藏  举报