Struts: Login erzwingen

[Popeye1979]

Hi!

Ich habe eine Struts-Anwendung und es wir am Anfang eine Loginmaske angezeigt. Diese Daten werden in die LoginForm geschrieben und in die Session gepackt.

Daraufhin öffnet sich die eigentliche Anwendung die aus mehreren jsp's besteht, welche per Tiles zusammengebastelt werden!

Wie kann ich es nun am "elegantesten" realisieren, das keine Quereinstiege möglich sind?

Weiterhin wird beim Abmelden die session zerstört, sprich die loginForm is auch weg!

Habe nun in der layout.jsp(die seite in der alles zusammengebastelt wird per Tiles) ein logic:present auf die loginform gemacht.

Aber irgendwie is dat noch nicht so super sicher.

Jmd eine Idee?

Gruss

Jo

[Jaraz]

Hi,

du könntest einen Filter schreiben, der alle Aktionen überprüft und nur bei der Login Aktion einen nicht gesetzten Sessionwert zulässt oder du schreibst eine Aktionklasse, von der alle deine Aktionunterklassen erben. In dieser Superklasse überprüfst du dann das Login.

Ich verwende Lösung 1, da Lösung 2. den Nachteil hat, das man dann für alle schon gegebenen Aktion Klassen von Struts eigene Erweiterungen schreiben muss.

Eine dritte Möglichkeit ist direkt über einen Realm des Servlet Containers zu gehen, allerdings ist man dann auf den einen Container beschränkt.

Gruß Jaraz

[jan76]

die eleganteste Lösung ist so eine Überprüfung im RequestProcessor unterzubringen (processActionPerform()), wenn Du die ActionMapping-Klasse um eine Property "secure" erweiterst, die bei geschützten Seiten auf "true" steht, kannst Du gezielt Bereiche deiner Anwendung schützen