当用户注销后回来时验证用户

Question

我们正在使用 Struts 1.2 开发一个 Web 应用程序。在该应用程序中，当用户按下注销时，它将注销用户，但是当他按下后退按钮时，它将带他进入而不询问用户名和密码。同样，当我们登录后给出页面的 url 时，它会在不验证的情况下将他带入其中。

我不知道如何解决这种安全问题。请指导我。

Answer 1

您是如何实施注销操作的？如果您正在实现自己的（例如，不使用 Spring Security 等），则应该在用户注销时调用 session.invalidate();。当然，当您的用户点击后退按钮时，由于浏览器缓存，他们可能仍然会看到该页面（取决于如何实现注销操作），但当他们之后尝试访问安全页面时，他们将无法访问该页面。