登录前的session和登录后session不一致保证安全
写到login方法中
HttpSession session=request.getSession(false)这句话的意思是招不到session的时候不会创建一个新的session
//session不等于null,说明之前被人用过
if(session!=nul){
//把登录之前的session失效掉
session.invalidate();
}
//创建一个新的session,以防止session攻击
request.getSession(true).setAttribute("user",userInfo);