比如A用戶登錄后不注銷,直接B用戶登錄,sessionId 是一樣,而且A可以訪問B的權限內容,B可以訪問C的權限內容。求解
1 回答
鳳凰求蠱
TA貢獻1825條經驗 獲得超4個贊
注銷的時候清除下session
((HttpSession) sc.getAttribute(userName)).invalidate();// 清除第一次登陸的session
添加回答
舉報
0/150
提交
取消