Hallo Ronny,

Hängt davon ab, was Du mit "absichern" meinst.

Wenn Du verhindern willst, das jemand die session-id mitschnüffelt und sich von einem fremden Rechner in die session hängt (session hijacking), dann ist nur SSL wirklich sicher. Man kann natürlich noch für eine session die IP des Clients speichern und für die Dauer der session nur requests von dieser IP zulassen (nicht wirklich sicher, aber besser als nichts :-)

Wenn Du erreichen willst, das ein User von seinem Rechner nicht mit mehreren Browserfenstern oder den Vor- und Zurückbuttons Deinen Workflow durcheinanderbringt, dann gibt es dafür keine wirklich zufriedenstellende Lösung. Das "Synchronizer Token Pattern" hilft zumindest zu verhindern, daß fehlerhaft Daten gespeichert werden. Dabei wird bei jedem Request ein Token generiert, in der Session gespeichert und auf die Seite geschrieben. Der nächste Request ist nur gültig, wenn die Tokens in der Session und dem Request übereinstimmen. Wenn nicht, kann auf eine Fehlerseite geleitet werden (oder auf die zuletzt regulär angezeigte Seite). Das Pattern ist z.b. in Struts schon eingebaut (saveToken, isTokenValid), siehe http://www.javaworld.com/javatips/jw-javatip136_p.html

Gruß,

Alwi

danke alwin bist immer wieder ein gute hilfe :-)