|
|
1
9
登录时,设置一个长过期的cookie(>24小时)。通过将maxage设置为0,在注销时删除此cookie。 您可以检查任何未登录的用户(即会话id无效)。 如果cookie不存在,请将其重定向到login.jsp 如果cookie存在,则表示他的会话已过期,因此将其重定向到session-expired.jsp |
|
|
2
8
在螺母中:
别忘了禁用浏览器对受保护页面的页面缓存,否则当您返回浏览器历史记录时,webbrowser将从缓存中加载这些页面,而不是向服务器发送新请求。您可以通过在同一个过滤器中执行以下操作来实现这一点,
之前
|
|
|
3
1
由于您仍然无法区分超时和未登录,我通常会做出这样的决定:如果他们请求一个经过身份验证的页面,我只会将他们发送到会话超时页面,该页面还兼作一个登录页面,上面写着 “哦,我们不知道您是谁,您的会话已超时或您尚未登录请在下面登录” 这就迎合了这两种情况 |