要想防止用戶直接訪問某個頁面,那么就需要要求他帶着session來訪問,我們才讓他訪問,所以登錄時設置的session就用上了
在用戶沒有session時,訪問servlet或者jsp時直接重定向頁面到首頁
這樣他就不能在沒有session的時候訪問到我們的某些需要登錄態的頁面了
例如個人信息面板、個人倉庫等
servlet
jsp
容易出現的混淆錯誤:
這里有個容易和servlet、jsp權限控制相混淆的錯誤,
因為空值登錄而誤判斷為是session處理有問題:空值登錄導致可以直接登錄后訪問servlet或者jsp
所以要拒絕空值登錄: http://www.cnblogs.com/kinome/p/8005533.html
2018/5/3 更新:
現在用的session的方式是通過登錄驗證用戶名和密碼后,通過用戶名和密碼獲取uid寫入session,作為全局uid使用,所有操作都是以uid為主線,實現用戶權限操作等控制。
獲取用戶名和密碼:
通過用戶名和密碼查詢到uid后寫入session:
