某站点通过用户输入的用户名和密码（在login.jsp登录页中输入）来判断出现什么样的界面，如果是管理员（即用户名为admin或administrator）跳转到管理员页面（welcome_admin.jsp）,非管理用户跳转到普通用户界面(welcome.jsp)。游客访问站点是，无需输入用户名和密码，直接进入普通用户界面（welcome.jsp）。 要求：找出UserOperation

程序中 只需要输入用户名 admin或administrator  都即可进入网页，无需输入密码，对于如此通用的管理员账户，大部分用户都能想到，而且无需输入密码，大部分人都可以进入，这样太缺乏安全性，什么人都可以进入，网站存在安全隐患，游客和非管理员任意进入网站，网站没有session对用户进行缓存，这样也无法保存用户信息，缺乏实用性。

 

解决办法:在登录中添加密码验证，以及禁止传递用户名为空值来解决

public String login(String username, String password){

If(null != password && !“”.equals(password)){

If(null != username && !“”.equals(username)){

if(admin.equals(userName)||administrator.equals(userName){

 userRole="admin";

}

return admin;

}

else{

return guest;

}

}

else{

return “登录失败，请输入正确的用户名”;

}