nicht angemeldet
Benutzerprüfung so richtig?
Hi,
wollte nur mal kurz bestätigt wissen, ob meine Benutzerprüfung so ok ist oder ob man das anders machen sollte.
Account account = (Account) request.getSession().getAttribute("user");
if(account==null) {
return mapping.findForward("accessdenied");
}
Wenn der Benutzer sich einloggt wird das Attribut "user" entsprechend gefüllt, beim ausloggen mit null gefüllt.
Mir gehts vorallem darum, obs ok ist den User in der Session mitzuführen.
-
Hi,
Mir gehts vorallem darum, obs ok ist den User in der Session mitzuführen.
ja, das ist gängige Praxis - und von Authentifizierung abgesehen wohl auch der einzig mögliche Weg. Allerdings können wir über den Rest Deines Mechanismus' nichts sagen; gut möglich, dass dort noch eine Lücke drin steckt, die an dieser Stelle zum Tragen kommt.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes -
Leider sagt der von Dir übermittelte Code nichts über das verwendete Session Management aus. Üblicherweise wird zum Session Management ein Cookie übermittelt, welches eine Zufallszahl enthält, die serverseitig mit den Informationen wie Nutzername etc. verbunden sind.
Gruß, LX
--
X-Self-Code: sh:( fo:) ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: Unusual
X-Please-Search-Archive-First: Absolutely Yes-
Ich verwende struts, dadurch wird mir doch das SessionManagement abgenommen. Von daher sollte ich mich doch um Sessions nicht zu kümmern brauchen...
In jeder Action, in der eine Zugriffsbeschränkung nötig ist, wird der oben genannte Code ausgeführt und ggf. noch auf die Accountrolle geprüft.
-