我想了解如何在网站中实施安全的注销方法。我在jsp中尝试注销页面。当用户点击 logout 时,会破坏会话吗?如果不是注销所需的步骤,那么对用户来说是安全的操作吗?
答案 0 :(得分:4)
一般来说,我会说是,但这取决于您可能在客户端存储的其他信息。例如,如果您有任何包含敏感信息的cookie(希望您没有),那么您也应该清除它们。
答案 1 :(得分:3)
如果您存储了任何与用户相关的Cookie,则还需要对其进行清理。换句话说,应清除服务器用于标识用户的任何信息。如果它只是会话 - 那么在你的情况下就足够了。
答案 2 :(得分:0)
定义“安全”。
您也可能想要关闭缓存,因此点击“后退”按钮不会显示潜在敏感信息。除此之外,不确定你还关心什么。
答案 3 :(得分:0)
取决于您的应用程序要求在注销期间您想要什么功能。除了刷新或释放用户会话有时,会话中设置的变量很少,它们也应该正确发布。
答案 4 :(得分:0)
是的,一旦你使会话无效,那么会话ID就不再有效了,可能会破坏会话cookie,所以会话就会消失(连同会话中存储的所有数据)。
为了注销用户(来自servlet或JSP页面):
<%
HttpSession s = request.getSession();
s.invalidate();
%>
这很容易。现在,如果您将一些重要的用户specyfic数据存储在自定义cookie中,请确保清除它们。这同样适用于HTML 5本地存储 - 必须进行手动清理。