session验证并跳转至登录页面的总结

在javaweb项目中，为了更好的保证jsp页面能够在用户登录的情况下才能访问，而用户在未登录的情况下即使知道了某些特定页面的url也无法查看，实现用户授权访问，而防止非授权用户访问的情形，这里将自己在实现过程中查找的资料以及自己的实现过程记录在此。

基于安全考虑，通过session验证来空值页面的访问权限是比较方便且简单的方式。

下面是建立了一个登陆检验session的一个loginCheck.jsp页面：

<body>
<%
if(session.getAttribute("users") == null) {
%>
<script type="text/javascript" language="javascript">
alert("您还没有登录，请登录...");
top.location.href="welcome.jsp";
</script>
<%
}
%>
</body>

该界面是通过判断登录的user内容是否为空，如果为空，即没有登陆，那么就将页面跳转至登录页面。

注意这里的top.location.href的表达方式，这可以让你的页面是最外层的页面跳转。如果你写成window.location.href有时候就无法实现整个页面的跳转。

在这之前，java后台需要使用request.getSession().setAttribute("users",users);将内容保存至session中。这样才能在jsp页面中session.getAttribute("users"）取得值。

另外在web.xml中需要设置session的时间：

<session-config>
<session-timeout>30</session-timeout>  <span style="color:#3366ff;"><span style="font-family:Arial;"><!--单位为分钟，30分钟--></span></span>
</session-config>

设置好了上述的内容后，再将需要限制访问的jsp页面的头包含：
<%@ include file="loginCheck.jsp"%>这样当访问该页面时，如果没有登录或者session过期，都会跳转到登录页面。
参考：

1.http://blog.csdn.net/lidawei201/article/details/8513827

2.http://www.tuicool.com/articles/6fQBFzF