[请益] 关于 session 和 token 共存的问题 herbacin PTT批踢踢实业坊

[请益] 关于 session 和 token 共存的问题

楼主: herbacin (herbacin) 2017-10-05 23:31:44

请问一下各位,
关于session 和 token验证机制同时存在的问题,
目前网站会使用session来验证使用者是否登入,
而在呼叫API的时候, ajax必须带token(由server产出)进行验证.
所以会碰到一个问题, 就是token没有过期, 但session过期 ;
或是session过期但token没有过期, 两个expire time不一致的情况,
我目前作法是任何一个失效都导到登入页面.
因为不想没次呼叫api的时候延长session时间或每次访问页面的时候延长token时间,
这样感觉成本太大, 不知有没有比较好的作法呢, 大家都如何处理？
谢谢

作者: MangoTW (不在线上) 2017-10-06 02:27:00

既然都认身份证了，何必再看健保卡呢？

作者: newton2009 (好瘦唷QQ) 2017-10-06 09:07:00

哪个是身份证？哪个是健保卡？

作者: MOONRAKER (㊣牛鹤鳗毛人) 2017-10-06 09:48:00

哪个是哪个是有什么差别。

作者: kyleJ (资工人) 2017-10-06 10:09:00

如果是为了防CSRF还是得看双证件囉

作者: pc031564 (pc031564) 2017-10-06 12:37:00

每一分钟亮出你的健保卡

作者: MOONRAKER (㊣牛鹤鳗毛人) 2017-10-06 13:26:00

唉唷还有CSRF好烦每次延长sess/token时间不就expiry改一下有什么成本吗

作者: newversion (海纳百川) 2017-10-06 17:21:00

1. 每次 -> 改成random延长2. 选特定时间比对

继续阅读

[请益] 这网站的curl请教jami520 [请益] 找会PHP的工程师lonceing [情报] 征 Text Ming/Data Crawler算法工程师seecc [请益] xampp外部连线问题chenweichih [请益] Laravel Validator的中文smallsteel [请益] larabel log 权限问题herbacin Re: [请益] PHP的socket跟其他的有什么不同alpe [请益] PHP的socket跟其他的有什么不同m7m123d [请益] MIS 问工程师为什么数据库会挂掉kiey [请益] apache tomcat配置Browser historyrr8r8r8r8tw