Web应用登出后防止浏览器后退

通常情况下，浏览器会对页面进行缓存，此时可以通过后退访问刚才的页面，如：Web应用登出后后退能够访问刚才被缓存的页面，这样在有些情况下是不够安全的，解决防止后退的办法如下：

response.setHeader("Cache-Control","no-cache"); //不对页面进行缓存，再次访问时将从服务器重新获取最新版本
response.setHeader("Cache-Control","no-store"); //任何情况下都不缓存页面
response.setDateHeader("Expires", 0); //使缓存过期
response.setHeader("Pragma","no-cache"); //HTTP 1.0 向后兼容

首先要将上面四行代码加在JSP中，或者Struts的action中，我个人是加在了action里。为一个基于Struts的Web应用添加一个处理退出问题的框架可以优雅地不费气力的实现。这部分归功于Struts是采用MVC设计模式的因此将模型和视图清晰的分开。另外，Java是一个面向对象的语言，其支持继承，可以比JSP中的脚本更为容易地实现代码重用。

通过使用类继承机制，其他类可以继承基本类BaseAction中的通用逻辑来设置HTTP头信息以及检索HttpSession对象中的username字符串。这个基本类是一个抽象类并定义了一个抽象方法executeAction()。所有继承自基类的子类都应实现exectuteAction()方法而不是覆盖它。下面基类的部分代码：

public abstract class BaseAction {

       ...

       {

              response.setHeader("Cache-Control","no-cache");

              response.setHeader("Cache-Control","no-store");

              response.setDateHeader("Expires", 0);

              response.setHeader("Pragma","no-cache");

       }

       ...
}

登出系统时注意清除保存用户证书的地方，我是存在了session里。我登出是做了如下操作：

public String logout() {

    ActionContext context = ActionContext.getContext();
    Map session = context.getSession();
    session.remove("User");//User中有用户名和密码等信息

//ActionContext.getContext().getSession().clear();//清空session
//ServletActionContext.getRequest().getSession().invalidate();//使HttpSession失效
    return "logout";
}

另外要配置一个拦截器，来保证已登出的用户不能后退进系统：

public class LoginSessionFilter implements javax.servlet.Filter {  

    @Override
    public void destroy() {
        // TODO Auto-generated method stub
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req=(HttpServletRequest)request;
        HttpServletResponse res=(HttpServletResponse)response;
        String contextPath = req.getSession().getServletContext().getContextPath();
        String servletPath = req.getServletPath();
        User user = (User) req.getSession().getAttribute("User ");
        // 如果是登录首页不用拦截
        if (servletPath.contains("login.action")) {                            chain.doFilter(request, response);
        } else {
            // 如果user == null说明该用户已经登出了，我强制它返回登录页面
            // 否则不拦截
            if (user == null) {
                res.sendRedirect(contextPath + " login.action");
            } else {
                chain.doFilter(request, response);
            }
        }
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {
        // TODO Auto-generated method stub
    }
}

当做到上面编码之后，已经可以解决99%的问题了，不过当浏览器点后退对应的是登录后的action时，由于这个action做了用户名密码的认证，后退键将用户名密码又提交了回来，因此还会登录进系统，拦截后退便失败。于是，我们可以做一个时间来验证一下这个请求是否是正常的登录请求：

public class LoginAction extends BaseAction {

    private String userName; // 用户名
    private String password; // 密码
    private long logonTime;// 登陆时间
    private static long lastLogonTime ; // 上次登录时间

    public String logon() {

        // 如果本次登录的时间大于最后一次登录的时间，说明是正常登录
        // 否则说明该请求是浏览器缓存的历史，我们要跳回登录页面
        if (logonTime > lastLogonTime) {
            lastLogonTime = logonTime;
        } else {
            return "登录页面";
        }

        ...
        ...

        return "";
    }

} 

　　结论

　　本文阐述了解决退出问题的方案，尽管方案简单的令人惊讶，但却在所有情况下都能有效地工作。无论是对JSP还是Struts，所要做的不过是写一段不超过50行的代码以及一个记录用户最后登陆时间的方法。在Web应用中混合使用这些方案能够使拥护的私人数据不致泄露，同时，也能增加用户的经验