当管理员A登录后,打开某个管理界面。在A和B权限菜单相同的情况下,管理员B新开页面登录,session变为B的,然后切换到A打开的界面,不刷新的情况下可以操作A的数据。
解决方案:当浏览器登录后,即存在session,不让客户进入到login.jsp,在login.jsp上方判断session是否为空,不为空则跳转到主页。这样就可以让用户在一个浏览器登录一个账号后必须注销才能登录另一个账号。
当管理员A登录后,打开某个管理界面。在A和B权限菜单相同的情况下,管理员B新开页面登录,session变为B的,然后切换到A打开的界面,不刷新的情况下可以操作A的数据。
解决方案:当浏览器登录后,即存在session,不让客户进入到login.jsp,在login.jsp上方判断session是否为空,不为空则跳转到主页。这样就可以让用户在一个浏览器登录一个账号后必须注销才能登录另一个账号。