user checken

[rosmi]

In der Webanwendung soll der Benutzer die Seiten nur dann sehen, wenn er eingeloggt ist. Der direkte AUfruf von JSPs (durch EIngabe in der Adressleiste) soll unterbunden werden.
Jetzt liegen JSPs unter
webapp-root<br>
+pages

Wie schütze ich JSPs? Was ist besser, das JSP-Verzeichnis unter WEB-INF zu platzieren (WEB-INF/pages) oder in jeder JSP noch eine JSP zu includen, wo dann gecheckt wird, ob der Benutzer eingeloggt ist (session existiert? -> wie checkt man dies? oder ob user-Variable in session null ist?) und falls nicht, auf Login-Seite umleiten (wie am besten?).

Oder gibt's andere Möglichkeiten?

 

[Christian Fein]

Original geschrieben von rosmi
In der Webanwendung soll der Benutzer die Seiten nur dann sehen, wenn er eingeloggt ist. Der direkte AUfruf von JSPs (durch EIngabe in der Adressleiste) soll unterbunden werden.
Jetzt liegen JSPs unter
webapp-root<br>
+pages

Wie schütze ich JSPs? Was ist besser, das JSP-Verzeichnis unter WEB-INF zu platzieren (WEB-INF/pages) oder in jeder JSP noch eine JSP zu includen, wo dann gecheckt wird, ob der Benutzer eingeloggt ist (session existiert? -> wie checkt man dies? oder ob user-Variable in session null ist?) und falls nicht, auf Login-Seite umleiten (wie am besten?).

Oder gibt's andere Möglichkeiten?

Servlet Filter.

Das heisst das sind Klassen die sich von HttpFilter ableiten. Diese werden bei jedem Zugriff aufgerufen.
Damit brauchst du nichts includen und rein gar nichts in den einzelnen Dateien machen, und kannst dein Loginverhalten selber programmieren.

Du kannst aber auch durch die datei tomcat-users.xml (unter Tomcat) und die web.xml geschützte Ordner alla .htaccess nutzen. Zudem könntest du dich in JAAS einlesen, was dann der Ferrari unter den Login Frameworks ist