我正在使用Apache Tomcat和Java EE开发一个简单的Web应用程序。
我使用自己的JDBC域域来保护和验证用户,我正在使用j_security_check的基本身份验证方法。
我已经实现了注销Servlet,一切正常。但是当我注销,并且我尝试再次登录时,应用程序或浏览器正在使用以前的凭据,它甚至不要求我输入另一个凭据。它只是使用最新的凭据自动登录。只有当我重置服务器并关闭浏览器(Chrome)时,tomcat才会再次请求凭据。
我的目标是阻止此自动登录过程。我做错了吗?
更新:我的注销Servlet正在执行以下操作:
response.setHeader("Cache-Control", "no-cache, no-store");
response.setHeader("Pragma", "no-cache");
request.getSession().removeAttribute("logonSessData");
request.getSession().invalidate();
response.sendRedirect(request.getContextPath() + "/index.jsp");
我的登录web.xml看起来像这样:
<security-constraint>
<display-name>userConstraint</display-name>
<web-resource-collection>
<web-resource-name>User pages</web-resource-name>
<description/>
<url-pattern>/users/*</url-pattern>
<url-pattern>/retos/misiones/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<description/>
<role-name>user</role-name>
</auth-constraint>
<user-data-constraint>
<description/>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>SPERO</realm-name>
</login-config>
<security-role>
<description>Usuario registrado de SPERO</description>
<role-name>user</role-name>
</security-role>
<resource-ref>
<description>Spero DataBase Connection Pool</description>
<res-ref-name>jdbc/spero</res-ref-name>
<res-type>javax.sql.DataSource</res-type>
<res-auth>Container</res-auth>
<res-sharing-scope>Shareable</res-sharing-scope>
</resource-ref>
答案 0 :(得分:0)
如果您的应用程序是Servlet 3.0版本,则应在注销servlet中使用request.logout()。它应该正确地使会话无效并删除用户凭据,请参阅javadoc request.logout。如果Tomcat没有正确实现它,您应该调用session.invalidate()