Security-/LogIn-Konzept von Tomcat 3.3

CaipiMan · 12. Dezember 2001 um 08:54

Hallo,

ich benutze das integrierte LogIn-Konzept von Tomcat 3.3, d.h. beim ersten (!) Zugriff auf bestimmte JSPs oder Servlets werde ich nach meinem Passwort gefragt. Bei allen weiteren Zugriffen hat er sich irgendwie meinen Browser gemerkt und fragt nicht mehr nach dem LogIn. Das alles ist gut so und funktioniert prima.
Wie kann ich Tomcat während der Laufzeit meiner JSPs aber dazu bringen, meinem Browser wieder ‚zu vergessen‘ und erneut nach dem LogIn zu fragen?

Gruß,
CaipiMan

Stefan_Behnel · 18. Dezember 2001 um 22:26

Wie kann ich Tomcat während der Laufzeit meiner JSPs aber dazu
bringen, meinem Browser wieder ‚zu vergessen‘ und erneut nach
dem LogIn zu fragen?

Hallo du!

Normalerweise gibt es zwei Möglichkeiten, wie sich Tomcat das merken kann: Über einen Identifikator in der Zugriffs-URL oder über Cookies. Letzteres ist einfacher und bei den meisten Benutzern unauffälliger (sollte es aber lieber nicht sein).
Alles andere (wie z.B. IP-Adressen speichern, etc.) funktioniert nicht (z.B. wegen Firewalls/Proxys).

Schau also mal in deinem Browser nach, ob der nicht einen Datenkrümel (engl. Cookie) gespeichert hat, der zum „localhost“ gehört, also zu deinem eigenen Rechner (bzw. zu der Adresse, über die du auf Tomcat zugreifst).
Mozilla: Tasks -> Sicherheit -> Cookie-Manager -> gespeicherte Cookies ansehen
IE: Temporary Internet Files
Opera: Edit Cookies
Andere: ?

Lösch den Krümel. (Und wenn du schonmal da bist, kannst du auch gleich da noch ein wenig aufräumen.)

Liebe Grüße,
Stefan

CaipiMan · 19. Dezember 2001 um 09:09

Danke für die Antwort,

aber wie soll ich meine Cookies während der JSP-Laufzeit löschen?

Stefan_Behnel · 19. Dezember 2001 um 18:48

aber wie soll ich meine Cookies während der JSP-Laufzeit
löschen?

Du sagst deinem Browser, du möchtest den Datenkrümel löschen und fertig.

Wo ist das Problem?

Stefan

CaipiMan · 20. Dezember 2001 um 08:48

Ich will die Cookies nicht per Hand (!) löschen!
Außerdem weiß ich garnicht, ob das integrierte Sessionmanagement des Tomcat überhaupt mit Cookies arbeitet. Vielleicht macht er’s auch über URL-Rewriting…
Ich hab’s im JSP auch schon mit session.invalidate() versucht, geht ebenfalls nicht.

Stefan_Behnel · 20. Dezember 2001 um 18:19

ich benutze das integrierte LogIn-Konzept von Tomcat 3.3, d.h.
beim ersten (!) Zugriff auf bestimmte JSPs oder Servlets werde
ich nach meinem Passwort gefragt. Bei allen weiteren Zugriffen
hat er sich irgendwie meinen Browser gemerkt und fragt nicht
mehr nach dem LogIn. Das alles ist gut so und funktioniert
prima.
Wie kann ich Tomcat während der Laufzeit meiner JSPs aber dazu
bringen, meinem Browser wieder ‚zu vergessen‘ und erneut nach
dem LogIn zu fragen?

Hallo nochmal,
jetzt hab ich erst gepeilt, was du eigentlich willst…

Wenn du den SERVER (und nicht den CLIENT) dazu veranlassen willst, eine neue Session für einen Benutzer zu beginnen, dann musst du wirklich ein

session.invalidate()

aufrufen. Wundert mich, dass du sagst, das würde nix bringen.

Aber schau mal in den Thread hier rein:
http://w6.metronet.com/~wjm/tomcat/2001/Mar/index.ht…

Vielleicht ist das ja das gleiche Problem.

Gruß,
Stefan

CaipiMan · 21. Dezember 2001 um 12:49

Danke,

das hat mir schon etwas weitergeholfen
Folgende Zeilen Sourcecode bringen einen Teilerfolg:

HttpSession sessionid = request.getSession(false);
sessionid.removeValue(„j_password“);
sessionid.removeValue(„j_username“);

Gruß,
CaipiMan