解决。主持人可以删除此问题
我有一个使用Java EE(JSP,Java,Tomcat服务器)编写的非常简单的站点。我想实现一个简单的登录系统。我以为我得到了注册和登录工作;但是,我这样做的方式存在很大问题。
让我们说Alice登录。她可以用她的信息查看她的个人资料,到目前为止,Alice的一切看起来都很正常。 然后Eve来了,想要登录。她确实并且被带到了她的个人资料中,一切看起来都很正常。 然后Alice重新加载她的个人资料,发现该网站现在已经登录为Eve!
重申:在一个人登录后,任何人都可以访问该网站并登录该帐户。最近登录的人是活动帐户。
如何跟踪此类会话信息,以便同时使用该网站登录多个不同的帐户?
谢谢!
修改:
这最终是一个非常简单的修复..我只需要使用setAttribute("EMAIL", userId);而不是我使用全局String变量的愚蠢方式
答案 0 :(得分:0)
使用现有框架(如Spring Security),而不是尝试推广自己的安全性。开箱即用,它为您提供基本的登录功能,并使用基于角色的身份验证方案处理页面保护。
答案 1 :(得分:0)
阅读您的问题,我认为您将最后记录的用户凭据存储在其中一个servlet的实例变量中。这会导致最后一个人登录以覆盖每个人的凭据......
如果您想要简单的身份验证,可以使用Java EE提供的系统: http://docs.oracle.com/javaee/5/tutorial/doc/bncbx.html
用户登录后,将自己的凭据放入他的Http会话中(request.getSession()。put(username,))。然后,每个人都会有一个独特的个人资料。