比如A用户登录后不注销,直接B用户登录,sessionId 是一样,而且A可以访问B的权限内容,B可以访问C的权限内容。求解
1 回答
凤凰求蛊
TA贡献1825条经验 获得超4个赞
注销的时候清除下session
((HttpSession) sc.getAttribute(userName)).invalidate();// 清除第一次登陆的session
添加回答
举报
0/150
提交
取消