我正在使用Tomcat 7 JSP应用程序,并且正在使用应用程序级别认证。即用户登录到我检查数据库的表单中。然后我在会话中设置了一个用户bean来登录它们。选项重新JSP认证
这似乎是合乎逻辑的事情。但现在我正在质疑自己......我陷入了细节之中。
例如我检查用户是否在每个安全页面上登录。如果没有,我重定向到登录页面。然后登录将它们返回到安全页面。这有会议超时的问题。
例如用户编辑表单(基本CRUD)。然后电话铃响了。通话结束后,他们提交表格,但没有有效的会话。该操作重定向到登录名。但登录后表单变量是空白的,他们在表中创建一个空行...
我可以想办法处理这种情况,但现在我想知道如果这是一个疯狂的追逐。有没有更好的办法?
- 有没有常见问题,讨论基于应用程序或基于容器的身份验证的优点?
- 是否有一个很好的记录模式,用于自己的认证?
- 这种情况在未来会引起可伸缩性问题吗?
寻找替代品。 谢谢
请考虑使用Spring Security框架:http://static.springsource.org/spring-security/site/docs/3.1.x/reference/springsecurity-single.html这是一个伟大的框架,并解决了很多认证/授权问题。 – Michael 2013-03-06 15:22:58