正确优雅的解决用户退出问题——JSP和Struts解决�Ҏ��(转蝲)

fish的Blog — Fri, 25 Aug 2006 00:01:00 GMT

注：本文是由马嘉�?/font> ��译的javaworld.com上的一��名为《Solving the logout problem properly and elegantly》的文章�Q�原文请参看 Solving the logout problem properly and elegantly �?br />�׃��2天翻译过后才发现wolfmanchen已经捯��先登了，而且��译得很准确�Q�比我的好，^+^�Q�我�q�行了修改，在此谢谢wolfmanchen�?/strong>
文中所有示例程序的代码可以从javaworld.com中下载，文章后面有资源链接�?br />
我看�q�之后觉得很好，希望对你也有所帮助�Q?br />

                             正确优雅的解决用户退出问�?br />                                           ------JSP和Struts解决�Ҏ��

摘要

在一个有密码保护的Web应用当中�Q�正��妥善的处理用户退��E��ƈ不仅仅只需要调用HttpSession对象的invalidate()�Ҏ��Q�因为现在大部分��览器上都有后退(Back)和前�q?Forward)按钮�Q�允许用户后退或前�q�到一个页面。在用户退��Z��个Web应用之后�Q�如果按了后退按钮�Q�浏览器把缓存中的页面呈现给用户�Q�这会��用户产生疑惑�Q�他们会开始担心他们的个�h数据是否安全�?br />
实际上，许多Web应用会弹��Z��个页面，警告用户退出时关闭整个��览器，以此来阻止用��L��d��退按钮。还有一些��用JavaScript�Q�但在某些客��L��览器中�q�却不一定�v作用。这些解��x��案大多数实现都很�W�拙�Q�且不能保证在�Q何情况下�?00%有效�Q�同�Ӟ��它还要求用户有一定的操作�l�验�?br />
�q�篇文章以简单的�E�序�C�Z��阐述了正��解决用户退出问题的�Ҏ��。作者Kevin Le首先描述了一个理想的密码保护Web应用�Q�然后以�C�Z��E�序解释问题如何产生�q�讨��决问题的�Ҏ��。文章虽然是针对JSP�q�行讨论阐述�Q�但作者所阐述的概念很�Ҏ��理解而且能够为其他Web技术所采用。最后最后，作者Kevin Le用Jakarta Struts更�ؓ优雅地解决用户退出问题。文中包含JSP和Struts的示例程�?(3,700 words; September 27, 2004)

大部分Web应用不会包含像银行�̎��h��信用卡资料那��h��密的信息�Q�但是一旦涉及到敏感数据�Q�就需要我们提供某些密码保护机制。例如，在一个工厂当中，工�h必须通过Web应用�E�序讉K��他们的时间安排、进入他们的培训评��以及查看他们的薪金等�{�。此时应用SSL(Secure Socket Layer)��有些大材小用了(SSL��面不会在缓存中保存�Q�关于SSL的讨论已�l�超出本文的范围)。但是这些应用又��实需要某�U�密码保护措施，否则�Q�工人（在这�U�情况下�Q�也��是Web应用的��用者）��可以发现工厂中所有员工的�U��h机密信息�?br />
�c�M��上面的情况还包括位于公共图书馆、医院�?font color="#000000">�|�吧�{�公共场所的计��机。在�q�些地方�Q�许多用户共同��用几台计��机�Q�此时保护用��L��个�h数据��显得至关重要�?/font> 同时应用�E�序的良好设计与实现对用户专业知识以及相兛_��训要求少之又��?

让我们来看一下现实世界中一个完��的Web应用是怎样工作的：
1. 用户在浏览器中输入URL�Q�访问一个页面�?br />2. Web应用昄��一个登陆页面，要求用户输入有效的验证信息�?br />3. 用户输入用户名和密码�?br />4. 假设用户提供的验证信息是正确的，�l�过了验证过�E�，Web应用允许用户��览他有权访问的区域�?br />5. 退出时�Q�用��L��击页面的退出按钮，Web应用昄��认��面�Q�询问用��h��否真的需要退出。一旦用��L��ȝ��定按钮，Session�l�束�Q�Web应用重新定位到登陆页面。用��L��在可以放心的��d��而不用担心他的信息会被泄霌Ӏ?br />6. 另一个用户坐��C��同一台电脑前。他点击后退按钮�Q�Web应用不应该显�C�Z��一个用戯��问过的�Q何一个页面�?br />事实上，Web应用��一直停留在登陆��面上，除非�W�二个用��h��供正��的验证信息�Q�之后才可以讉K��他有权限的区域�?br />
通过�C�Z��E�序�Q�文章向您阐�q�C��如何在一个Web应用中实��C��面的功能�?br />

一. JSP samples

��Z��更�ؓ有效地向您说明这个解��x��案，本文��从展示一个Web应用logoutSampleJSP1中碰到的问题开始。这个示例代表了许多没有正确解决退��E�的Web应用。logoutSampleJSP1包含一下JSP��面�Q�login.jsp, home.jsp, secure1.jsp, secure2.jsp, logout.jsp, loginAction.jsp, �?logoutAction.jsp。其中页面home.jsp, secure1.jsp, secure2.jsp, �?logout.jsp是不允许未经认证的用戯��问的�Q�也��是��_��q�些��面包含了重要信息，在用��L��陆之前或者退��Z��后都不应该显�C�在��览器中。login.jsp��面包含了用于用戯��入用户名和密码的form。logout.jsp��面包含了要求用��L��认是否退出的form。loginAction.jsp和logoutAction.jsp作�ؓ控制器分别包含了登陆和退出动作的代码�?br />
�W�二个Web�C�Z��应用logoutSampleJSP2展示了如何纠正示例logoutSampleJSP1中的问题。但是第二个�C�Z��logoutSampleJSP2自��n也是有问题的。在特定情况下，退出问题依然存在�?br />
�W�三个Web�C�Z��应用logoutSampleJSP3对logoutSampleJSP2�q�行了改�q�，比较妥善地解决了退出问题�?br />
最后一个Web�C�Z��logoutSampleStruts展示�?font size="3">JakartaStruts如何优雅地解决退出问题�?br />
注意�Q�本文所附示例在最新版本的Microsoft Internet Explorer (IE), Netscape Navigator, Mozilla, FireFox和Avant��览器上��试通过�?br />

�? Login action

Brian Pontarelli的经典文�? 《J2EE Security: Container Versus Custom�? 讨论了不同的J2EE认证�Ҏ��。文章同时指出，HTTP协议和基于form的认证方法�ƈ不能提供处理用户退出问题的机制。因此，解决�Ҏ��便是引入用户自定义的安全实现机制�Q�这��提供了更大的灵�z�L��?br />
在用戯��定义的认证方法中�Q�普遍采用的�Ҏ��是从用户提交的form中获得用戯��入的认证信息�Q�然后到诸如LDAP (lightweight directory access protocol)或关�p�L��据库(relational database management system, RDBMS)的安全域中进行认证。如果用��h��供的认证信息是有效的�Q�登陆动作在HttpSession对象中保存某个对象。HttpSession存在着保存的对象则表示用户已经登陆到Web应用当中。�ؓ了方便�v见，本文所附的�C�Z��只在HttpSession中保存一个用户名以表明用户已�l�登陆。清�?是从loginAction.jsp��面中节选的一�D�代码以此讲解登陆动作：

Listing 1
//...
//initialize RequestDispatcher object; set forward to home page by default
RequestDispatcher rd = request.getRequestDispatcher( "home.jsp" );

//Prepare connection and statement
rs = stmt.executeQuery( "select password from USER where userName = '" + userName + "'" );
if (rs.next()) {
//Query only returns 1 record in the result set;
//Only 1 password per userName which is also the primary key
    if (rs.getString( "password" ).equals(password)) { //If valid password
        session.setAttribute( "User" , userName); //Saves username string in the session object
    }
    else { //Password does not match, i.e., invalid user password
       request.setAttribute( "Error" , "Invalid password." );

       rd = request.getRequestDispatcher( "login.jsp" );
    }
} //No record in the result set, i.e., invalid username
    else {

        request.setAttribute( "Error" , "Invalid user name." );
        rd = request.getRequestDispatcher( "login.jsp" );
    }
}

//As a controller, loginAction.jsp finally either forwards to "login.jsp" or "home.jsp"
rd.forward(request, response);
//...

本文当中所附Web应用�C�Z��均以关系型数据库作�ؓ安全域，但本问所讲述的内容同样适用于其他�Q何类型的安全域�?br />

�? Logout action

退出动作包含删除用户名以及调用用户的HttpSession对象的invalidate()�Ҏ��。清�?是从loginoutAction.jsp中节选的一�D�代码，以此说明退出动作：

Listing 2
//...
session.removeAttribute( "User" );
session.invalidate();
//...

�? ��L��未经认证讉K��受保护的JSP��面

从提交的form中获取用��h��交的认证信息�q�经�q�验证后�Q�登陆动作仅仅在HttpSession对象中写入一个用户名。退出动作则刚好相反�Q�它从HttpSession中删除用户名�q�调用HttpSession对象的invalidate()�Ҏ��。�ؓ了��登陆和退出动作真正发挥作用，所有受保护的JSP��面必须首先验证HttpSession中包含的用户名，以便��认用户当前是否已经登陆。如果HttpSession中包含了用户名，��p��明用户已�l�登陆，Web应用会将剩余的JSP��中的动态内容发送给��览器。否则，JSP��将跌��{到登陆页面，login.jsp。页面home.jsp, secure1.jsp, secure2.jsp�?logout.jsp均包含清�?中的代码�D�：

Listing 3
//...
String userName = (String) session.getAttribute( "User" );
if (null == userName) {
    request.setAttribute( "Error" , "Session has ended. Please login." );
    RequestDispatcher rd = request.getRequestDispatcher( "login.jsp" );
    rd.forward(request, response);
}
//...
//Allow the rest of the dynamic content in this JSP to be served to the browser
//...

在这个代码段中，�E�序从HttpSession�?font color="#000000">��?/font>username字符丌Ӏ�如果username字符串�ؓ�I�，Web应用则自动中止执行当前页面�ƈ跌��{到登陆页�Q�同时给出错误信息“Session has ended. Please log in.”；如果不�ؓ�I�，Web应用�l�箋执行�Q�把剩余的页面提供给用户�Q�从而��JSP��面的动态内�Ҏ��为服务对象�?br />

�?�q�行logoutSampleJSP1

�q�行logoutSampleJSP1��会出现如下几种情�Ş�Q?br />
�?如果用户没有登陆�Q�Web应用��会正确中止受保护页面home.jsp, secure1.jsp, secure2.jsp和logout.jsp中动态内容的执行。也��是��_��假如用户�q�没有登陆，但是在浏览器地址栏中直接敲入受保护JSP��늚�地址试图讉K��Q�Web应用��自动蟩转到登陆��面�Q�同时显�C�错误信息“Session has ended.Please log in.�?br />
�?同样的，当一个用户已�l�退出，Web应用��会正确中止受保护页面home.jsp, secure1.jsp, secure2.jsp和logout.jsp中动态内容的执行。也��是��_��用户退��Z��后，如果在浏览器地址栏中直接敲入受保护JSP��늚�地址试图讉K��Q�Web应用��自动蟩转到登陆��面�Q�同时显�C�错误信息“Session has ended.Please log in.�?br />
�?用户退��Z��后，如果点击��览器上的后退按钮�q�回到先前的��面�Q�Web应用��不能正��保护受保护的JSP��面——在Session销毁后�Q�用户退出）受保护的JSP��会重新昄��在浏览器中。然而，点击该页面上的�Q何链接，Web应用都会跌��{到登陆页面，同时昄��错误信息“Session has ended.Please log in.�?br />

�? ��L��览器缓�?/font>

上述问题的根源就在于��C��大部分浏览器都有一个后退按钮。当点击后退按钮�Ӟ��默认情况下浏览器不会从Web服务器上重新获取��面�Q�而是��单的从浏览器�~�存中重新蝲入页面。这个问题�ƈ不仅限于��Z��Java(JSP/servlets/Struts) 的Web应用当中�Q�在��Z��PHP (Hypertext Preprocessor)、ASP�?Active Server Pages)、和.NET的Web应用中也同样存在�?br />
在用��L��d��退按钮之后�Q�浏览器到Web服务器（一般来��_��或者应用服务器�Q�在java的情况下�Q�再从服务器到浏览器�q�样通常意义上的HTTP回�\�q�没有徏立。仅仅只是用��P��览器和�~�存之间�q�行了交互。所以即使受保护的JSP��面�Q�例如home.jsp, secure1.jsp, secure2.jsp和logout.jsp包含了清�?上的代码�Q�当点击后退按钮�Ӟ��q�些代码也永�q�不会执行的�?br />
�~�存的好坏，真是仁者见仁智者见智。缓存事实上的确提供了一些便利，但这些便利通常只存在于静态的HTML��面或基于图形或影像的页面。而另一斚w��Q�Web应用通常是面向数据的。由于Web应用中的数据频繁变更�Q�所以与��Z��节省旉��从缓存中��d��q�显�C��期的数据相比�Q�提供最新的数据昑־��ؓ重要�Q?br />
�q�运的是�Q�HTTP头信息“Expires”和“Cache-Control”�ؓ应用�E�序服务器提供了一个控制浏览器和代理服务器上缓存的机制。HTTP头信息Expires告诉代理服务器它的缓存页面何时将�q�期。HTTP1.1规范中新定义的头信息Cache-Control在Web应用当中可以通知��览器不�~�存��M��面。当点击后退按钮�Ӟ��览器发送Http��h��道应用服务器以便获取该页面的最新拷贝。如下是使用Cache-Control的基本方法：

�?no-cache:强制�~�存从服务器上获取该��面的最新拷�?br />�?no-store: 在�Q何情况下�~�存不保存该��面

HTTP1.0规范中的Pragma:no-cache�{�同于HTTP1.1规范中的Cache-Control:no-cache�Q�同样可以包含在头信息中�?

通过使用HTTP头信息的cache控制�Q�第二个�C�Z��应用logoutSampleJSP2解决了logoutSampleJSP1的问题。logoutSampleJSP2与logoutSampleJSP1不同表现在如下代码段中，�q�一代码�D�加入进所有受保护的页面中�Q?br />

//...
response.setHeader( "Cache-Control" , "no-cache" ); //Forces caches to obtain a new copy of the page from the origin server
response.setHeader( "Cache-Control" , "no-store" ); //Directs caches not to store the page under any circumstance
response.setDateHeader( "Expires" , 0); //Causes the proxy cache to see the page as "stale"
response.setHeader( "Pragma" , "no-cache" ); //HTTP 1.0 backward compatibility
String userName = (String) session.getAttribute( "User" );
if (null == userName) {
    request.setAttribute( "Error" , "Session has ended. Please login." );
    RequestDispatcher rd = request.getRequestDispatcher( "login.jsp" );
    rd.forward(request, response);
}
//...

通过讄��头信息和��查HttpSession对象中的用户名来��保��览器不会缓存JSP��面。同�Ӟ��如果用户未登陆，JSP��面的动态内容不会发送到��览器，取而代之的��是登陆��面login.jsp�?br />

�? �q�行logoutSampleJSP2

�q�行Web�C�Z��应用logoutSampleJSP2后将会看到如下结果：

�?当用户退出后试图点击后退按钮�Q�浏览器不会重新昄��受保护的��面�Q�它只会昄��登陆��login.jsp同时�l�出提示信息Session has ended. Please log in.

�?然而，当按了后退按钮�q�回的页是处理用��h��交数据的��面�Ӟ��IE和Avant��览器将弹出如下信息提示�Q?br />
           警告�Q�页面已�q�期
           The page you requested was created using information you submitted in a form. This page is no longer available. As a security precaution, Internet Explorer does not automatically resubmit your information for you.

Mozilla和FireFox��览器将会显�C�Z��个对话框�Q�提�C�Z��息如下：

            The page you are trying to view contains POSTDATA that has expired from cache. If you resend the data, any action from the form carried out (such as a search or online purchase) will be repeated. To resend the data, click OK. Otherwise, click Cancel.

在IE和Avant��览器中选择��h��或者在Mozilla和FireFox��览器中选择重新发送数据后�Q�前一个JSP��面��重新显�C�在��览器中。显然的�Q�这病不是我们所想看到的因�ؓ它违背了logout动作的目的。发生这一现象�Ӟ��很可能是一个恶意用户在��试获取其他用户的数据。然而，�q�个问题仅仅出现在点��d��退按钮后，��览器返回到一个处理POST��h��的页面�?br />

�? 记录最后登陆时�?

上述问题的发生是因�ؓ��览器重新提交了其缓存中的数据。这本文的例子中�Q�数据包含了用户名和密码。尽��IE��览器给��Z��安全警告信息�Q�但事实上浏览器此时起到了负面作用�?br />
��Z��解决logoutSampleJSP2中出现的问题�Q�logoutSampleJSP3的login.jsp除了包含username和password的之外，�q�增加了一个称作lastLogon的隐藏表单域�Q�此表单域将会动态的被初始化��Z��个long型倹{��这个long型值是通过调用System.currentTimeMillis()获取到的�?970�q?�?日以来的毫秒数。当login.jsp中的form提交�Ӟ��loginAction.jsp首先��隐藏域中的��g��用户数据库中的lastLogon��D��行比较。只有当lastLogon表单域中的值大于数据库中的值时Web应用才认��是个有效的登陆�?br />
��Z��验证登陆�Q�数据库中lastLogon字段必须用表单中的lastLogon��D��行更新。上例中�Q�当��览器重复提交缓存中的数据时�Q�表单中的lastLogon��g��比数据库中的lastLogon值大�Q�因此，loginAction��蟩转到login.jsp��面�Q��ƈ昄��如下错误信息“Session has ended.Please log in.”清�?是loginAction中节选的代码�D�：

清单5
//...
RequestDispatcher rd = request.getRequestDispatcher( "home.jsp" ); //Forward to homepage by default
//...
if (rs.getString( "password" ).equals(password)) { //If valid password
    long lastLogonDB = rs.getLong( "lastLogon" );
    if (lastLogonForm > lastLogonDB) {
        session.setAttribute( "User" , userName); //Saves username string in the session object
        stmt.executeUpdate( "update USER set lastLogon= " + lastLogonForm + " where userName = '" + userName + "'" );
    }
    else {
        request.setAttribute( "Error" , "Session has ended. Please login." );
        rd = request.getRequestDispatcher( "login.jsp" ); }
    }
else { //Password does not match, i.e., invalid user password
    request.setAttribute( "Error" , "Invalid password." );
    rd = request.getRequestDispatcher( "login.jsp" );
}
//...
rd.forward(request, response);
//...

��Z��实现上述�Ҏ��Q�你必须记录每个用户的最后登陆时间。对于采用关�p�d��数据库安全域来说�Q�这点可以可以通过在某个表中加上lastLogin字段��L��实现。虽然对LDAP以及其他的安全域来说需要稍微动下脑�{�，但最后登陆方法很昄��是可以实现的�?br />
表示最后登陆时间的�Ҏ��有很多。示例logoutSampleJSP3利用了自1970�q?�?日以来的毫秒数。这个方法即使在许多人在不同��览器中用一个用戯�̎��L��陆时也是可行的�?br />

�? �q�行logoutSampleJSP3

�q�行�C�Z��logoutSampleJSP3��展�C�如何正��处理退出问题。一旦用户退出，点击��览器上的后退按钮在�Q何情况下都不会在��览器中昄��受保护的JSP��面。这个示例展�C�Z��如何正确处理退出问题而不需要对用户�q�行额外的培训�?br />
��Z��使代码更��l�有效，一些冗余的代码可以剔除。一�U�途径��是把清�?中的代码写到一个单独的JSP��中�Q�其他JSP��面可以通过标签 �q�行使用 �?br />

�? Struts框架下的退出实�?/font>

与直接��用JSP或JSP/servlets�q�行Web应用开发相比，另一个更好的可选方案是使用Struts。对于一个基于Struts的Web应用来说�Q�添加一个处理退出问题的框架可以优雅��C��Ҏ��力的实现。这归功于Struts是采用MVC设计模式的，因此可以��模型和视图代码清晰的分��R��另外，Java是一个面向对象的语言�Q�支持��承，可以比JSP中的脚本更�ؓ�Ҏ��地实��C��码重用。对于Struts来说�Q�清�?中的代码可以从JSP��面中移植到Action�cȝ��execute()�Ҏ��中�?br />
此外�Q�我们还可以定义一个��承Struts Action�cȝ��Action基类�Q�其execute()�Ҏ��中包含了�c�M��清单4中的代码。通过�l�承�Q�其他Action�c�d��以��承基本类中的通用逻辑来设�|�HTTP头信息以及检索HttpSession对象中的username字符丌Ӏ�这个Action基类是一个抽象类�q�定义了一个抽象方法executeAction()。所有��承自Action基类的子�c�都必须实现exectuteAction()�Ҏ��而不是覆盖它。通过�l�承�q�一机制�Q�所有��承自Action基类的子�c�都不必再担心退��Z��码接口。（plumbing实在不知道怎么��译了，^+^�Q�高手帮帮忙啊！原文�Q�With this inheritance hierarchy in place, all of the base Action's subclasses no longer need to worry about any plumbing logout code.�Q�。他们将只包含正常的业务逻辑代码。清�?是基�cȝ��部分代码�Q?br />

清单6
publicabstractclass BaseAction extends Action {
    public ActionForward execute(ActionMapping mapping, ActionForm form,
                                                 HttpServletRequest request, HttpServletResponse response)
               throws IOException, ServletException {

response.setHeader( "Cache-Control" , "no-cache" ); //Forces caches to obtain a new copy of the page from the origin server
response.setHeader( "Cache-Control" , "no-store" ); //Directs caches not to store the page under any circumstance
response.setDateHeader( "Expires" , 0); //Causes the proxy cache to see the page as "stale"
response.setHeader( "Pragma" , "no-cache" ); //HTTP 1.0 backward compatibility

if (!this.userIsLoggedIn(request)) {
    ActionErrors errors = new ActionErrors();

    errors.add( "error" , new ActionError( "logon.sessionEnded" ));
    this.saveErrors(request, errors);

    return mapping.findForward( "sessionEnded" );
}

return executeAction(mapping, form, request, response);
}

protectedabstract ActionForward executeAction(ActionMapping mapping, ActionForm form, HttpServletRequest request, HttpServletResponse response)
throws IOException, ServletException;

privateboolean userIsLoggedIn(HttpServletRequest request) {
if (request.getSession().getAttribute( "User" ) == null) {
    return false;
}

return true;
}
}

清单6中的代码与清�?中的很相像，唯一区别是用ActionMapping findForward替代了RequestDispatcher forward。清�?中，如果在HttpSession中未扑ֈ�username字符�Ԍ��ActionMapping对象��找到名为sessionEnded的forward元素�q�蟩转到对应的path。如果找��C��Q�子�c�通过实现executeAction()�Ҏ��Q�将执行他们自己的业务逻辑。因此，在struts-web.xml配置文�g中�ؓ所有��承自Action基类的子�c�d��明个一名�ؓsessionEnded的forward元素�q�将其指向login.jsp是至关重要的。清�?以secure1 action阐明了这样一个声明：

清单7
"/secure1"
type= "com.kevinhle.logoutSampleStruts.Secure1Action"
scope= "request" >
"success" path= "/WEB-INF/jsps/secure1.jsp" />
"sessionEnded" path= "/login.jsp" />

�l�承自BaseAction�cȝ��子类Secure1Action实现了executeAction()�Ҏ��而不是覆盖它。Secure1Action�c�M��需要执行�Q何退��Z��码，如清�?�Q?br />

清单8
publicclass Secure1Action extends BaseAction {
    public ActionForward executeAction(ActionMapping mapping, ActionForm form,
                                                           HttpServletRequest request, HttpServletResponse response)
               throws IOException, ServletException {

               HttpSession session = request.getSession();
               return (mapping.findForward( "success" ));
         }
}

上面的解��x��案是如此的优雅有效，它仅仅只需要定义一个基�c�而不需要额外的代码工作。将通用的行为方法写成一个��承StrutsAction的基�c�L��者的推荐的，而且�q�是许多Struts��目的共同经验�?br />

十一. 局限�?/font>

上述解决�Ҏ��对JSP或基于Struts的Web应用都是非常��单而实用的�Q�但它还是有某些局限。在我看来，�q�些局限�ƈ不是臛_��紧要的�?br />
• �?通过取消与浏览器后退按钮有关的缓存机�Ӟ��一旦用��L��开��面而没有对数据�q�行提交�Q�那么页面将会丢失所有输入的数据。即使点��L��览器的后退按钮�q�回到刚才的��面也无��于事，因�ؓ��览器会从服务器获取新的�I�白��面昄��出来。一�U�可能的�Ҏ��q�不是阻止这些JSP��面包含数据数据表格。在��Z��JSP的解��x��案当中，那些JSP��面可以删除在清�?中的代码。在��Z��Struts的解��x��案当中，Action�c�需要��承自Struts的Action�c�而非BaseAction�c�R�?br />
•  上面讲�q�的�Ҏ��在Opera��览器中不能工作。事实上没有适用于Opera��览器的解决�Ҏ��Q�因为Opera��览器与2616 Hypertext Transfer Protocol—HTTP/1.1紧密相关。Section 13.13 of RFC 2616 states:
User agents often have history mechanisms, such as "Back" buttons and history lists, which can be used to redisplay an entity retrieved earlier in a session.
History mechanisms and caches are different. In particular history mechanisms SHOULD NOT try to show a semantically transparent view of the current state of a resource. Rather, a history mechanism is meant to show exactly what the user saw at the time when the resource was retrieved.
�q�运的是�Q��用微软的IE和基于Mozilla的浏览器用户多余Opera��览器。上面讲�q�的解决�Ҏ��对大多数用户来说�q�是有帮助的。另外，无论是否使用上述的解��x��案，Opera��览器仍然存在用户退出问题，��Opera来说没有��M��改变。然而，正如RFC2616中所��_��通过像上面一栯��|�头文�g指��o�Q�当用户点击一个链接时�Q�Opera��览器不会从�~�存中获取页面�?br />

十二. �l�论

�q�篇文章讲述了处理退出问题的解决�Ҏ��Q�尽��方案简单的令�h惊讶�Q�但在所有情况下都能有效地工作。无论是对JSP�q�是Struts�Q�所要做的不�q�是写一�D�不��过50行的代码以及一个记录用��h��后登陆时间的�Ҏ��。在有密码保护的Web应用中��用这些方案能够确保在��M��情况下用��L��U��h数据不致泄露�Q�同�Ӟ��也能增加用户的经验�?br />
About the author
[i]Kevin H. Le[/i] has more than 12 years of experience in software development. In the first half of his career, his programming language of choice was C++. In 1997, he shifted his focus to Java. He has engaged in and successfully completed several J2EE and EAI projects as both developer and architect. In addition to J2EE, his current interests now include Web services and SOA. More information on Kevin can be found on his Website http://kevinhle.com.

Resources

Download the code that accompanies this article:
http://www.javaworld.com/javaworld/jw-09-2004/logout/jw-0927-logout.zip

"J2EE Security: Container Versus Custom," Brian Pontarelli (JavaWorld, July 2004):
http://www.javaworld.com/javaworld/jw-07-2004/jw-0726-security.html

Hypertext Transfer Protocol—HTTP/1.1 (RFC 2616):
http://www.ietf.org/rfc/rfc2616.txt

Caching Tutorial:
http://www.mnot.net/cache_docs

HTTP Caching in Mozilla:
http://www.mozilla.org/projects/netlib/http/http-caching-faq.html

Opera knowledge base: Cache control headers:
http://www.opera.com/support/search/supsearch.dml?index=82

Prevent caching in Internet Explorer:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;234067

JavaWorld has published numerous articles on Struts, including the following:

" Struts Best Practices ," Puneet Agarwal (September 2004)

" Jump the Hurdles of Struts Development ," Michael Coen and Amarnath Nanduri (April 2003)

" Boost Struts with XSLT and XML ," Julien Mercay and Gilbert Bouzeid (February 2002)

For more articles on security, browse the Security section of JavaWorld's Topical Index:
http://www.javaworld.com/channel_content/jw-security-index.shtml

Also, browse the JavaServer Pages (JSP) section of JavaWorld's Topical Index:
http://www.javaworld.com/channel_content/jw-jsp-index.shtml?

fish的Blog 2006-08-25 08:01 发表评论

亚洲av无码一区二区三区在线播放,噜噜综合亚洲AV中文无码,亚洲日本中文字幕一区二区三区

struts防止反复��h��的方�?

正确优雅的解决用户退出问题——JSP和Struts解决�Ҏ��(转蝲)

配置多个struts�Q�config文�g