# Mit Session-IDs richtig umgehen



## Guest (28. Aug 2005)

Ich habe vor, in meiner Weganwendung ein Login zu basteln. Ein Benutzer muss also Benutzername und Passwort eingeben, und nur wenn dieses richtig ist, soll er Zugriff auf die entsprechende Seite haben. Da das Ganze nicht nur aus einer Seite besteht, soll ein "fremder" Benutzer keinen Zugriff auf einzelne Seiten haben.

Wie setze ich bei einem Tomcat (V4.1.24) Session-IDs richtig ein, um so eine Benutzerverwaltung zu realisiseren? Wenn eine Session abgelaufen ist, oder der User generell nicht eingeloggt ist (sprich wenn die Session-ID falsch ist), soll er beim Aufruf einer Seite immer an die gleiche Fehlerseite weitergeleitet werden. Wie mache ich das am Besten?

Eine weitere Frage ist, wie ich die Session-IDs zwischen den einzelnen Seiten übergebe. Muss ich jedes mal diese ID auslesen und von Hand wieder übergeben?


----------



## Robt (29. Aug 2005)

Hi, ich kann dir erstmal was zur zweiten Frage sagen. Wie du das mit der Session ID händeln kannst, sollte garnicht so schwer sein, du musst sie nicht immer direkt selber übergeben. Schau mal in diese Klasse rein : javax.servlet.http.HttpServletResponse   Da gibt es eine Methode encodeURL(String), dass sollte dich erstmal nen bissl weiterbringen.

Gruß Robt


----------



## Guest (29. Aug 2005)

Danke, das hat mir erstmal eini wenig weiter geholfen. Aber das heißt doch, dass ich jeden Link dabei umschreiben muss. Oder sehe ich das falsch?

An anderer Stelle habe ich gelesen, dass der Tomcat bei aktivierten Cookies die Session Verwaltung automatisch macht. Simmt das überhaupt?


----------



## Robt (29. Aug 2005)

Ich weiß nicht wie bislang deine Links aussehen, aber im Prinzip sollten sie dann alle nach dem Muster ablaufen.
Ob das mit den Cookies bei Tomcat so ist, kann ich dir nicht sagen, da ich damit nicht arbeite. Man hat immer das Problem bei Cookies, wenn der Client diese nicht erlaubt...... Musst schaun ob es bei deiner Anwendung relevant ist oder nicht.


----------

