确保用户在Java Web App中进行身份验证

我的Web应用程序有一个安全区域,用户可以通过JSP登录.JSP将用户名和密码发布到servlet,然后servlet检查用户凭据是否有效.如果它们有效,则将用户定向到安全资源.如何在不先验证的情况下确保用户无法导航到安全资源？

一种常见的方法是在用户的会话中设置令牌,即

session.setAttribute("loggedIn", "true");

甚至

session.setAttribute("loggedInUser", "someUserName");

并在任何应该保护的页面上检查.一个好的策略是使用附加到任何要保护的页面的servlet过滤器来执行检查.如果他们没有通过检查,过滤器可以重定向到登录页面.另见:http://java.sun.com/products/servlet/Filters.html

这是一篇关于使用过滤器进行身份验证的好文章:http://www.developer.com/java/ent/article.php/3467801