Nous développons une application web utilisant Struts 1.2. Dans cette application, lorsque l'utilisateur appuie sur la déconnexion, il se déconnectera de l'utilisateur, mais quand il appuie sur le bouton retour, il l'emmènera à l'intérieur sans demander de nom d'utilisateur et mot de passe. De même, lorsque nous donnons l'url de la page après la connexion, il va l'emmener à l'intérieur sans vérification. Je ne sais pas comment résoudre ce genre de problème de sécurité. Guidez-moi s'il-vous-plaît.Vérifier l'utilisateur lorsqu'il revient après la déconnexion
0
A
Répondre
0
Comment avez-vous implémenté votre action de déconnexion? Si vous implémentez le vôtre (par exemple, sans utiliser Spring Security, etc.), vous devez appeler session.invalidate();
lorsque l'utilisateur se déconnecte. Bien sûr, lorsque votre utilisateur clique sur le bouton Précédent, il peut toujours voir la page en raison de la mise en cache du navigateur (en fonction de la procédure de déconnexion), mais lorsqu'il tente d'accéder à une page sécurisée, il n'y accède plus.
Détruisez-vous la session dans l'action de déconnexion? – Manu
Utilisez-vous même la session pour vérifier l'état auth? – codeporn
La page provient-elle du cache? Cela fonctionne-t-il si vous répondez et que vous actualisez? – CodesInChaos