Wie kann man am sichersten prüfen, ob ein Benutzer bereits angemeldet ist?

Question

Ich habe viele Fragen wie meine Frage gelesen, aber keine von ihnen hat mir eine Lösung gegeben.

Ich bin eine Website implementieren (mit Struts2-Framework) und ich weiß nicht, was ist der sicherste Weg zu überprüfen, ob Benutzer bereits angemeldet ist oder nicht. Meine Website hat die Zahlungsfunktion, so sollte ich wirklich vorsichtig sein, über diese.

Alle Lösungen, die ich gelesen habe, sind ähnlich wie diese:

// Is there a "user" object stored in the user's HttpSession?
    Object user = session.getAttribute (USER_HANDLE);
    if (user == null) {
        // The user has not logged in yet.
    }
    else {
       // the user has logged in
    }

Ich habe mich gefragt, ob es möglich ist, dass böse Jungs ein gefälschtes Sitzungsobjekt wie das Benutzerobjekt erstellen und sich dann ohne gültiges Passwort im System anmelden können.

Ich möchte auch wissen, ist es Praxis Weg, auf jeder Seite erforderlich eingeloggt, nicht nur prüfen, ob das Benutzerobjekt nicht ungültig ist, sondern auch den Benutzernamen und das Passwort in der Datenbank überprüfen ?

Answer 1

Vielleicht sollten Sie ein Sicherheits-Framework verwenden wie Federsicherheit oder Apache Shiro.

Answer 2

Sicherheitsprobleme basieren immer auf Ihren Anforderungen und darauf, welche Art von Sicherheit Sie wünschen, denn es gibt verschiedene Sicherheitsebenen im Internet. Aber wie Sie bereits erwähnt haben, können Sie dies mit Struts2-Interceptors erreichen, da es Ihnen eine Terminologie zur Verfügung stellt, um einige wesentliche Operationen vor und nach dem Aufruf Ihrer Aktion durchzuführen. dieser Link .