ユーザー名とパスワードを受け入れる非常に基本的なログインフォームがあります。データが送信されると、コントローラークラスは基本的にユーザー名とパスワードを認証します。資格情報が正しい場合、ユーザーはjavaEEプロジェクトのWEB-INFにあるmembersOnly.jspに転送されます。WEB-INFのコンテンツには転送によってのみアクセスでき、リダイレクトにはアクセスできないため、誰かがこの情報にアクセスできる唯一の方法はサーバー側の転送を介することだと思います。
私の質問は、このアプローチはどれほど安全であり、他の形式のセキュリティを使用する必要があるかということです。
ある種のカスタムベースの認証を使用していますが、Java EE 標準ではいくつかの認証メカニズムが定義されています。
フォームベースの認証を使用すると、カスタムメイドのフォームを引き続き使用でき、パスワードの検証を Java EE コンテナーに委譲できます。ほぼすべてのベンダーが、LDAP サーバー、データベース テーブル、およびその他のリポジトリに対する資格情報の検証を提供しています。
ほとんどのコンテナーが認証を処理します。
たとえば、Glassfish を使用すると、どのデータベース テーブルにユーザーとパスワードが含まれているかをコンテナーに簡単に伝えることができます。
それはあなたのために残りを行います。
また、コンテナーにさまざまなページへのアクセスを制御させることもできます。
お役に立てれば。