ログアウト後にユーザーが復帰したときに確認します

Question

私たちはStruts 1.2を使ってWebアプリケーションを開発しています。このアプリケーションでは、ユーザーがログアウトを押すとユーザーはログアウトしますが、戻るボタンを押すと、ユーザー名とパスワードを要求せずに内部に入ります。同様に、ログイン後にページのURLを指定すると、確認なしに内部に入ります。

この種のセキュリティ問題を解決する方法はわかりません。私を案内してください。

Answer 1

どのようにログアウトアクションを実装しましたか？自分自身を実装している場合（例えば、Spring Securityなどを使用しない場合）、ユーザがログアウトしたときにはsession.invalidate();を呼び出す必要があります。確かに、ユーザーが戻るボタンを押すと、ログアウトアクションの実装方法に応じてブラウザのキャッシュが原因でページが表示されることがありますが、そのあとで安全なページにアクセスしようとするとアクセスできなくなります。