要想防止用户直接访问某个页面，那么就需要要求他带着session来访问，我们才让他访问，所以登录时设置的session就用上了

 

 

 

 

在用户没有session时，访问servlet或者jsp时直接重定向页面到首页

这样他就不能在没有session的时候访问到我们的某些需要登录态的页面了

例如个人信息面板、个人仓库等

 

servlet

 

jsp

 

 

容易出现的混淆错误：

这里有个容易和servlet、jsp权限控制相混淆的错误，

因为空值登录而误判断为是session处理有问题：空值登录导致可以直接登录后访问servlet或者jsp

所以要拒绝空值登录： http://www.cnblogs.com/kinome/p/8005533.html

 

 

2018/5/3 更新：

现在用的session的方式是通过登录验证用户名和密码后，通过用户名和密码获取uid写入session，作为全局uid使用，所有操作都是以uid为主线，实现用户权限操作等控制。

 

获取用户名和密码：

 

通过用户名和密码查询到uid后写入session：