Détruire proprement la session et les variables existantes

**hpl76** · 19/09/2008, 15h34

Bonjour,

Merci de votre soutien et votre patience.

Je connais bien en effet les attributs dont tu parles mais je ne pensais pas devoir en arriver là (PHP pour le coup n'a pas ce problème). Si j'attaque les dites pages via l'url ca fonctionne maintenant, je suis renvoyé à la page de login en revanche on peut rien faire contre les boutons suivant / précédent car eux provoquent encore la tuile.

Ca devient bon.

hpl76 reconnaissant

**OButterlin** · 20/09/2008, 15h27

C'est clair, contre un back du navigateur, on ne peut pas grand chose...

Maintenant, il faut bien reconnaitre que ce n'est pas très gênant non plus puisqu'on peut facilement interdire toute opération quand la session est détruite (par un filtre par exemple, ça centralise tous ces tests)

A+

**nicorama** · 20/09/2008, 21h49

Salut,
Je vais mettre de l'huile sur le feu, mais pourquoi utilise-tu une session ?

Si ce n'est que pour garder l'utilisateur en mémoire, il y a bien d'autres moyens plus sûrs (pas de risque d'avoir user==null quelque part), qui permettent de rendre ton appli plus facilement développable sur le moyen terme.

**OButterlin** · 21/09/2008, 17h24

Envoyé par nicorama

Salut,
Je vais mettre de l'huile sur le feu, mais pourquoi utilise-tu une session ?

Si ce n'est que pour garder l'utilisateur en mémoire, il y a bien d'autres moyens plus sûrs (pas de risque d'avoir user==null quelque part), qui permettent de rendre ton appli plus facilement développable sur le moyen terme.

Certes... L'authentification du serveur est plus intéressante de ce point de vue... Mais bon, là n'est pas sa question...

**BradPitt** · 25/09/2008, 05h36

Envoyé par nicorama

Salut,
Je vais mettre de l'huile sur le feu, mais pourquoi utilise-tu une session ?

Si ce n'est que pour garder l'utilisateur en mémoire, il y a bien d'autres moyens plus sûrs (pas de risque d'avoir user==null quelque part), qui permettent de rendre ton appli plus facilement développable sur le moyen terme.

Bonjour,

Quel serait vos suggestions? J'essaie d'éviter l'utilisation d'une variable de session pour le username.

Merci!

**nicorama** · 25/09/2008, 08h26

Pour ma part, les requêtes du user envoient à chaque fois un cookie ou un header Authorization.
La JSP récupère ces valeurs via un tag. La JSP envoie ces valeurs dans un bean chargé lui de valider l'utilisateur, et ses droits vis à vis de ce que fera cette requête.

A chaque reqûete, je crée donc l'objet User. Tu peux en savoir un peu plus sur mon tutoriel Restful & JSP

**OButterlin** · 25/09/2008, 08h53

Tu peux utiliser l'authentification du serveur également, que ce soit par JAAS ou autre...

**nicorama** · 27/09/2008, 22h56

Mouais. Jamais été chaud par l'authentification serveur. Il faut dire que je suis censé pouvoir authentifier des milliers de gens ayant des roles très différents.

J'aime autant avoir le controle personnel sur ce qui se passe. En termes de transit des données et de puissance de calcul.

Bon, je suppose que beaucoup de technos font ca mieux que moi, mais sont-elles perennent ? Voila qui élargit le thread

Détruire proprement la session et les variables existantes

Servlets/JSP Java

Discussions similaires

Partager

Partager