Empêcher l'utilisateur de voir la page sécurisée précédemment visitée après la déconnexion

Question

J'ai la exigence que l'utilisateur final ne devrait pas pouvoir retourner à la page restreinte après s'être déconnecté. Mais actuellement, l'utilisateur final est capable de le faire en utilisant le bouton retour du navigateur, en visitant l'historique du navigateur ou même en réentrant l'URL dans la barre d'adresse du navigateur.

Fondamentalement, je veux que l'utilisateur final ne soit pas capable d'accéder à la page restreinte de quelque manière que ce soit après s'être déconnecté. Comment puis-je réaliser cela de la meilleure façon? Est-ce que je peux désactiver le bouton retour avec JavaScript?

Answer 1

Une alternative à implémenter un filtre consiste à définir un filtre 'no-cache' sur tous les JSP sécurisés, ou sur tous les chemins. Cela peut être une bonne idée si l'application est petite, et si vous souhaitez personnaliser cette propriété uniquement pour des pages spécifiques. Nous pouvons ajouter l'extrait de code Java suivant sur chaque JSP sécurisé qui ne doit pas être mis en cache :

<%
  response.addHeader("Pragma", "no-cache");
  response.setHeader("Cache-Control", "no-cache, no-store, must-revalidate");
  response.setDateHeader("Expires", 0);
%>

Si ce n'est pas sur JSP, cela pourrait également être utilisé dans les contrôleurs où le routage est défini et définir les en-têtes pour l'objet 'HttpServletResponse'.