Hallo zusammen,
ich setzt mich grade etwas mit JSP, Glassfish und Eclipse auseinander und habe noch relativ wenig Ahnung was Webanwendungen angeht.
Mein Ziel war es einen Login über https zu realisieren welche dann ein Menu mit verschiedenen Funktionen bietet. Das funktioniert soweit auch ganz gut. Ich hab allerdings noch ein paar Fragen.
1) Login
Beim Login werden Username und Password an ein Servlet übergeben welches diese in der Datenbank überprüft und bei Übereinstimmung in der session eine Variable login auf true setzt.
if(login())
session.setAttribute("login",true);
Reicht es im folgenden aus wenn ich ich Prüfe ob die session eine die Variable hat und diese true ist?
Oder kann irgend ein client eine session haben in der er selbst die Variable gesetzt hat?
Ist das "sicher" oder muss ich auf jeder neuen Seite erneute die Userdaten per Datenbank abgleichen?
2 ) https / ssl
Momentan ist es so gelöst das ich auf jeder Seite prüfe ob diese "sicher" ist
if(!session.isSecure())
{
response.sendRedirect("....index.html");
}
//danach wird getestet ob die session angemeldet ist
gibt es da einen besseren weg? ich möchte verhindern das ein User die Url ändert und zwischen https und http wechselt. Das geht vermute ich auch über die web.xml? ich habe aber in bezug auf glassfish nichts gefunden.(Abgesehen davon den glassfish server so zu ändern das er garkein http mehr akzeptiert).
Für Ideen und Anregungen wäre ich dankbar.
ich setzt mich grade etwas mit JSP, Glassfish und Eclipse auseinander und habe noch relativ wenig Ahnung was Webanwendungen angeht.
Mein Ziel war es einen Login über https zu realisieren welche dann ein Menu mit verschiedenen Funktionen bietet. Das funktioniert soweit auch ganz gut. Ich hab allerdings noch ein paar Fragen.
1) Login
Beim Login werden Username und Password an ein Servlet übergeben welches diese in der Datenbank überprüft und bei Übereinstimmung in der session eine Variable login auf true setzt.
if(login())
session.setAttribute("login",true);
Reicht es im folgenden aus wenn ich ich Prüfe ob die session eine die Variable hat und diese true ist?
Oder kann irgend ein client eine session haben in der er selbst die Variable gesetzt hat?
Ist das "sicher" oder muss ich auf jeder neuen Seite erneute die Userdaten per Datenbank abgleichen?
2 ) https / ssl
Momentan ist es so gelöst das ich auf jeder Seite prüfe ob diese "sicher" ist
if(!session.isSecure())
{
response.sendRedirect("....index.html");
}
//danach wird getestet ob die session angemeldet ist
gibt es da einen besseren weg? ich möchte verhindern das ein User die Url ändert und zwischen https und http wechselt. Das geht vermute ich auch über die web.xml? ich habe aber in bezug auf glassfish nichts gefunden.(Abgesehen davon den glassfish server so zu ändern das er garkein http mehr akzeptiert).
Für Ideen und Anregungen wäre ich dankbar.
Zuletzt bearbeitet: