public String login() {
getCurrentSession().invalidate();
User loginUser = userService.login();
if(loginUser != null) {
auth(createNewSession(), loginUser);
} else {
//....
}
}
[color=red]
防止session被篡改的方法;每次登录,先使当前session失效,然后为用户创建新的session[/color]