Comment bien vous déconnecter de Java EE 6 Web Application après la connexion

Assez simple exigence. Après la connexion sur le web J2EE 6 application, comment puis-je avoir à l'utilisateur de se déconnecter de nouveau?

La plupart (tous?) les livres et les tutoriels que j'ai vu montrer comment ajouter un login/loginerror page de leur application et de démonstration de l'utilisation des principes de sécurité/rôles/royaumes etc à l'aide de la "j_security_check" méthode - est du tout bon. Mais alors il n'est pas clair comment donner à l'utilisateur le pouvoir de vous déconnecter. En effet, comment peut-on forcer une déconnexion après, disons, la fin de la session, etc?

InformationsquelleAutor smagrath | 2012-06-05
  1. 27

    Vous devriez avoir logout servlet/jsp qui invalide la session à l'aide de l'une des manières suivantes:

    • Avant de Servlet 3.0, l'utilisation de session.invalidate() method qui invalide la session.
    • Servlet 3.0 fournit une méthode de l'API HttpServletRequest.logout() qui invalide seulement le contexte de la sécurité et de la session existe toujours.

    Et, l'INTERFACE de l'Application doit fournir un lien qui invoque logout servlet/jsp

    Question: en Effet, comment peut-on forcer une déconnexion après, disons, la fin de la session, etc?

    Réponse: La <session-timeout> dans web.xml permet de définir la valeur de délai d'expiration après laquelle la session sera invalidé par le serveur.

    • +1 pour logout() méthode.
    • Grâce Ramesh - ce qui m'a permis de mettre en place correctement je pense. Une chose que j'ai ramassé ailleurs, a été l'importance de return "/index?faces-redirect=true"; - il est nécessaire de briser la session existante et toute mise en cache côté client qui peut se passer.
    • Pour plus de clarté Servlet 3.0, vous devez faire les deux logout() et de la session.invalidate()?
    • Si vous vous déconnectez, sans invalider la session, vous devez avoir une très bonne raison, car il vous ouvre à la fuite d'informations. Les utilisateurs qui se connectent de manière intentionnelle s'attendent à être traités comme s'ils n'avaient jamais connecté, en particulier si elles utilisent un public de terminal! Voir owasp.org/index.php/...
    • Probablement que je ne comprends pas bien cette réponse: "en web.xml permet de définir la valeur de délai d'expiration après laquelle la session sera invalidé par le serveur" je comprends que ce délai d'expiration de session est le temps conteneur attend après la session est annulée; et Il n'est pas correct, parce que ce délai d'expiration de session paramètre est le temps conteneur attend si elle ne reçoit pas une demande peut invalider la session.
    InformationsquelleAutor Ramesh PVK
  2. 5

    Vous pouvez le faire par programmation à l'aide de la logout()-Méthode de HttpServletRequest.
    Il y a aussi une méthode pour se connecter avec un nom d'utilisateur et mot de passe. Ces méthodes ont été ajoutées dans le Servlet 3.0, donc ils sont disponibles dans Java EE 6.

    Un délai d'attente est une bête différente et peut être spécifié en web.xml comme suit:

    <session-config>
  <session-timeout>30</session-timeout> 
</session-config>

    L'unité de temps est à quelques minutes.

    • Ceci n'est valable que depuis la Servlet 3.0
    • Oui, mais la question mentionne spécifiquement JEE 6, de sorte Servlet 3.0 est très bien
    • Oui. Super Réponse.
    • OK - agréable et facile!
    InformationsquelleAutor ftr
  3. 1

    Processus en deux étapes -

    1.créer la page de déconnexion

    2.créer un bean session avec une déconnexion méthode

    ÉTAPE A: La Page de Déconnexion

    <div class="mytext">
    <p>Hello #{userSession.username}, </p>
    <p><h:outputText value="It doesn't seem you're logged in anyway..." rendered="#{!userSession.userLoggedIn}" /></p>
</div>
    <h:form class="mytext" rendered="#{userSession.userLoggedIn}" >
        <h:panelGrid columns="2"  >
            <h:outputLabel value="Do you want to logout?" for="logout"  />
            <p:commandButton value="Logout" id="logout" action="#{userSession.logout}" />                                      
        </h:panelGrid>
    </h:form>

    ÉTAPE B: Bean de Session Code de Soutien (extrait)

    public String logout() {
    HttpSession session = (HttpSession) FacesContext.getCurrentInstance().getExternalContext().getSession(true);
    session.invalidate();
    return "/index?faces-redirect=true";
}

public boolean isUserLoggedIn() {
    String user = this.getUsername();
    boolean result = !((user == null)|| user.isEmpty());
    return result;
}

/** Get the login username if it exists */
public String getUsername() {
    String user = FacesContext.getCurrentInstance().getExternalContext().getRemoteUser();
    return user;
}
    InformationsquelleAutor smagrath