[请益] 关于 session 和 token 共存的问题

楼主: herbacin (herbacin)   2017-10-05 23:31:44
请问一下各位,
关于session 和 token验证机制同时存在的问题,
目前网站会使用session来验证使用者是否登入,
而在呼叫API的时候, ajax必须带token(由server产出)进行验证.
所以会碰到一个问题, 就是token没有过期, 但session过期 ;
或是session过期但token没有过期, 两个expire time不一致的情况,
我目前作法是任何一个失效都导到登入页面.
因为不想没次呼叫api的时候延长session时间或每次访问页面的时候延长token时间,
这样感觉成本太大, 不知有没有比较好的作法呢, 大家都如何处理?
谢谢
作者: MangoTW (不在线上)   2017-10-06 02:27:00
既然都认身份证了,何必再看健保卡呢?
作者: newton2009 (好瘦唷QQ)   2017-10-06 09:07:00
哪个是身份证?哪个是健保卡?
作者: MOONRAKER (㊣牛鹤鳗毛人)   2017-10-06 09:48:00
哪个是哪个是有什么差别。
作者: kyleJ (资工人)   2017-10-06 10:09:00
如果是为了防CSRF还是得看双证件囉
作者: pc031564 (pc031564)   2017-10-06 12:37:00
每一分钟亮出你的健保卡
作者: MOONRAKER (㊣牛鹤鳗毛人)   2017-10-06 13:26:00
唉唷还有CSRF好烦每次延长sess/token时间不就expiry改一下 有什么成本吗
作者: newversion (海纳百川)   2017-10-06 17:21:00
1. 每次 -> 改成random延长2. 选特定时间比对

Links booklink

Contact Us: admin [ a t ] ucptt.com