进入了一次login页面用admin登录成功之后,再直接访问success页面也可以直接进入,并且显示了欢迎你admin,是不是session的原因啊?
session没销毁,你把浏览器关了再开肯定就登不进去了
我想过这个问题,因为session的作用域是一次会话,当用户输出正确的用户名和密码登陆时:
if("admin".equals(username)&&"admin".equals(password))
{
//校验通过
HttpSession session= request.getSession();
session.setAttribute("username", username);
response.sendRedirect(request.getContextPath()+"/success.jsp");
}就是这段代码的逻辑有点小问题,因为没有销毁session的动作,此后的一系列操作都是同一个session,而判断能不能进入success.jsp的逻辑是看username是不是为空,显然已经不为空了,所以能直接访问,重启浏览器可以销毁这次session
最近刚刚接触filter很多的问题还是弄不太清楚