在一个jsp 应用中, 如何阻止合法用户的非法访问?

juanxincai 2004-09-08 08:00:24
如一个用户, 他成功的登陆到你的系统中, 但他又通过输入url,去访问其他的jsp.
如何阻止用户的这种行为?
...全文
141 点赞 收藏 9
写回复
9 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
juanxincai 2004-09-09
这样一来,你必须为每个角色维护一个URL的清单, 这样做,就会有不小的工作两.
假设, 所有的URL都是不可被直接访问. 对每个用户,只能通过应用程序中你提供给
他的UI去访问, 那么这个问题自然就解决了.我是想这样去处理
回复
romeo 2004-09-09
通过过滤器filter,

先配置过滤器,然后当他提交url得时候,url先经过过滤器,看是否有这个权限,

如果没有则不把url提交给servlet处理,而是直接返回错误,告诉他没有权限,

如果过滤器检查出有这个访问权限,则把url提交给servlet处理……

回复
wangwei8117 2004-09-09
设置权限就可以了吧,不要简单的判断是否有session而要进一步判断session的值!
回复
zhaoqiubo 2004-09-09
专门做一个校验权限的jsp页面,然后include进每个jsp页面的最前面,这样在每次访问jsp的时候就先校验了权限.权限不正确就转到提示页面去....
回复
juanxincai 2004-09-08
有session验证, 还是可以输入新的连接进去.
回复
treeroot 2004-09-08
你没有用session验证吗?直接输入的话应该是一个新的session了,只有通过链接才是同一个sessioin呀.
回复
Tasia 2004-09-08
给不同类别的用户赋以不同的权限级别,保存在session中。
在jsp页面中取得用户类型和它的权限级别,看它是否权限访问这个jsp。
回复
showerXP 2004-09-08
就是权限问题。
回复
睿思BI 2004-09-08
可以试下用session 对象来追踪用户。当他登陆的时候,为他分配个session范围的属性和值,当他访问别的JSP网业的时候,必须拥有这个session对象的属性和那个对应的值,不然就拒绝访问!!
回复
相关推荐
发帖
Web 开发
创建于2007-09-28

8.0w+

社区成员

Java Web 开发
申请成为版主
帖子事件
创建了帖子
2004-09-08 08:00
社区公告
暂无公告