要想防止用户直接访问某个页面,那么就需要要求他带着session来访问,我们才让他访问,所以登录时设置的session就用上了
在用户没有session时,访问servlet或者jsp时直接重定向页面到首页
这样他就不能在没有session的时候访问到我们的某些需要登录态的页面了
例如个人信息面板、个人仓库等
servlet
jsp
容易出现的混淆错误:
这里有个容易和servlet、jsp权限控制相混淆的错误,
因为空值登录而误判断为是session处理有问题:空值登录导致可以直接登录后访问servlet或者jsp
所以要拒绝空值登录: http://www.cnblogs.com/kinome/p/8005533.html
2018/5/3 更新:
现在用的session的方式是通过登录验证用户名和密码后,通过用户名和密码获取uid写入session,作为全局uid使用,所有操作都是以uid为主线,实现用户权限操作等控制。
获取用户名和密码:
通过用户名和密码查询到uid后写入session: