Benutzer überprüfen, wenn er nach dem Abmelden zurückkommt

Wir entwickeln eine Webanwendung mit Struts 1.2. Wenn der Benutzer in dieser Anwendung die Abmeldung drückt, wird der Benutzer abgemeldet, aber wenn er die Taste drückt, nimmt er ihn ohne Nachfrage nach Benutzername und Passwort. Ebenso, wenn wir die URL der Seite nach der Anmeldung angeben, wird er ohne Bestätigung nach drinnen gehen.Benutzer überprüfen, wenn er nach dem Abmelden zurückkommt

Ich weiß nicht, wie diese Art von Sicherheitsproblem zu lösen. Bitte führen Sie mich.

Quelle

2010-12-13 Manoj

Zerstören Sie die Sitzung in der Abmeldeaktion? – Manu

Verwenden Sie die Sitzung sogar zum Überprüfen des Authentifizierungsstatus? – codeporn

Ist die Seite aus dem Cache? funktioniert es, wenn Sie zurückschlagen und dann aktualisieren? – CodesInChaos

Wie haben Sie Ihre Abmeldeaktion implementiert? Wenn Sie Ihre eigenen implementieren (z. B. ohne Spring Security usw.), sollten Sie session.invalidate(); aufrufen, wenn der Benutzer sich abmeldet. Sicher, wenn Ihr Benutzer die Zurück-Schaltfläche drückt, kann die Seite aufgrund des Browser-Cachings immer noch angezeigt werden (abhängig davon, wie die Abmeldeaktion implementiert wird), aber wenn sie danach auf eine sichere Seite zugreifen, haben sie keinen Zugriff darauf.

Quelle

2010-12-13 15:33:02 limc

Benutzer überprüfen, wenn er nach dem Abmelden zurückkommt

Antwort

Verwandte Themen