Web アプリケーションに struts2 を使用しています。現在、セッション管理のために、実際にはユーザー ID (つまり DB 識別子) をセッションに保持しており、ログアウト中に、このユーザー ID をセッション オブジェクトから削除します。私たちのセッション オブジェクト (ユーザー ID をカプセル化) は、セッション対応インターフェイスを実装しているため、セッション マップですべてのセッション関連情報を自動的に取得すると思います。
私の基本的な恨みは、ログアウトすることです。session.invalidate() のように、セッションからユーザー ID を削除するだけで、セッションを実際に「無効化」するわけではありません。
私は struts2 に不慣れで、私が説明しているこの製品のプロトタイプにも不慣れです。セッションからユーザーIDを削除するだけで十分かどうか、そうでない場合はどのようなセキュリティ上の危険があるか教えてください。ログアウト時に session.invalidate も行う必要がありますか?