- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
今天我在检查由 Laravel 5 创建的 storage/framework/sessions
文件夹中的 session 文件时注意到一些令人不安的事情。
事情是这样的:
storage/framework/sessions
中的 session 文件仍然存在,并且浏览器 cookies 还活着。 storage/framework/sessions
中的旧 session 文件被删除,新的 session 文件在那里。这会导致安全问题,因为现在用户 B 可以访问用户 A 的数据。
在通过 Laravel 源代码进行调试时,我发现在注销/登录过程中, session 存储永远不会被清除。在 Illuminate\Auth\Guard::clearUserDataFromStorage()
方法中只有登录凭据被删除,但所有 session 存储属性仍然存在,然后当 $kernel->terminate($ request, $response);
被调用,这反过来导致 Illuminate\Session\Middleware\StartSession::terminate()
调用 Store::save()
,它盲目地将 $this->attributes
保存到新 session 中,而忽略了它现在属于另一个用户的事实。
从一方面来看,这似乎是合乎逻辑的——Laravel 对我的数据没有任何假设,也没有假设我是否希望它与身份验证一起过期。但是,最好将它记录在某个地方,并提供一种解决方案,将一些敏感数据附加到身份验证对象并与其一起过期。
这意味着我作为一名程序员有责任在新用户(或同一用户)登录时从当前 session 中彻底清除所有敏感数据。
注销时清除是不可靠的,因为用户可能永远不会单击注销链接而是等待 session “过期”,这对于 Laravel 仍然不会清除 session 。
还有一件事要记住:我不应该过早清除 session - 必须存在 AntiForgery token ,否则登录表单将始终失败。
我找到了一个论坛主题,它也试图解决一些类似的问题:
http://laravel.io/forum/04-27-2014-how-to-expire-session-data
我对此感到困惑:
I had another go at it today and realised what the problem was: Session::flush() does not delete session data that the app creates, such as the shopping cart details
如果这是真的,那么完全摆脱 session 的唯一方法就是使用 PHP 原生 session_unset()
和 session_destroy()
但我不会想走那条路——如果可能的话,我更愿意找到一个更干净的、类似 Laravel 的解决方案。
我如何告诉 Laravel 我希望在身份验证过期或用户注销时将我的旧 session 数据与用户身份验证数据一起删除?
最佳答案
在laravel docs它说你可以:
从 session 中删除项目
Session::forget('key');
从 session 中删除所有项目
Session::flush();
您可以导航到 AuthenticatesAndRegistersUsers.php 特征并重写
/**
* Log the user out of the application.
*
* @return \Illuminate\Http\Response
*/
public function getLogout()
{
$this->auth->logout();
return redirect(property_exists($this, 'redirectAfterLogout') ? $this->redirectAfterLogout : '/');
}
到
/**
* Log the user out of the application.
*
* @return \Illuminate\Http\Response
*/
public function getLogout()
{
Session::flush();
$this->auth->logout();
return redirect(property_exists($this, 'redirectAfterLogout') ? $this->redirectAfterLogout : '/');
}
我不知道这是否真的有效,但试一试 :)
更新
According to this answer here on Stack Overflow ,您可以将 session 设置为在浏览器关闭时或 XXX 分钟后过期。与上述解决方案一起使用,应该可以解决问题吗?
在 config/session.php 中
/*
|--------------------------------------------------------------------------
| Session Lifetime
|--------------------------------------------------------------------------
|
| Here you may specify the number of minutes that you wish the session
| to be allowed to remain idle before it expires. If you want them
| to immediately expire on the browser closing, set that option.
|
*/
'lifetime' => 120,
'expire_on_close' => false
关于php - Laravel - session 数据在注销/登录后仍然存在,即使对于不同的用户也是如此,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30728741/
初学者 android 问题。好的,我已经成功写入文件。例如。 //获取文件名 String filename = getResources().getString(R.string.filename
我已经将相同的图像保存到/data/data/mypackage/img/中,现在我想显示这个全屏,我曾尝试使用 ACTION_VIEW 来显示 android 标准程序,但它不是从/data/dat
我正在使用Xcode 9,Swift 4。 我正在尝试使用以下代码从URL在ImageView中显示图像: func getImageFromUrl(sourceUrl: String) -> UII
我的 Ubuntu 安装 genymotion 有问题。主要是我无法调试我的数据库,因为通过 eclipse 中的 DBMS 和 shell 中的 adb 我无法查看/data/文件夹的内容。没有显示
我正在尝试用 PHP 发布一些 JSON 数据。但是出了点问题。 这是我的 html -- {% for x in sets %}
我观察到两种方法的结果不同。为什么是这样?我知道 lm 上发生了什么,但无法弄清楚 tslm 上发生了什么。 > library(forecast) > set.seed(2) > tts lm(t
我不确定为什么会这样!我有一个由 spring data elasticsearch 和 spring data jpa 使用的类,但是当我尝试运行我的应用程序时出现错误。 Error creatin
在 this vega 图表,如果我下载并转换 flare-dependencies.json使用以下 jq 到 csv命令, jq -r '(map(keys) | add | unique) as
我正在提交一个项目,我必须在其中创建一个带有表的 mysql 数据库。一切都在我这边进行,所以我只想检查如何将我所有的压缩文件发送给使用不同计算机的人。基本上,我如何为另一台计算机创建我的数据库文件,
我有一个应用程序可以将文本文件写入内部存储。我想仔细看看我的电脑。 我运行了 Toast.makeText 来显示路径,它说:/数据/数据/我的包 但是当我转到 Android Studio 的 An
我喜欢使用 Genymotion 模拟器以如此出色的速度加载 Android。它有非常好的速度,但仍然有一些不稳定的性能。 如何从 Eclipse 中的文件资源管理器访问 Genymotion 模拟器
我需要更改 Silverlight 中文本框的格式。数据通过 MVVM 绑定(bind)。 例如,有一个 int 属性,我将 1 添加到 setter 中的值并调用 OnPropertyChanged
我想向 Youtube Data API 提出请求,但我不需要访问任何用户信息。我只想浏览公共(public)视频并根据搜索词显示视频。 我可以在未经授权的情况下这样做吗? 最佳答案 YouTube
我已经设置了一个 Twilio 应用程序,我想向人们发送更新,但我不想回复单个文本。我只是想让他们在有问题时打电话。我一切正常,但我想在发送文本时显示传入文本,以确保我不会错过任何问题。我正在使用 p
我有一个带有表单的网站(目前它是纯 HTML,但我们正在切换到 JQuery)。流程是这样的: 接受用户的输入 --- 5 个整数 通过 REST 调用网络服务 在服务器端运行一些计算...并生成一个
假设我们有一个名为 configuration.js 的文件,当我们查看内部时,我们会看到: 'use strict'; var profile = { "project": "%Projec
这部分是对 Previous Question 的扩展我的: 我现在可以从我的 CI Controller 成功返回 JSON 数据,它返回: {"results":[{"id":"1","Sourc
有什么有效的方法可以删除 ios 中 CBL 的所有文档存储?我对此有疑问,或者,如果有人知道如何从本质上使该应用程序像刚刚安装一样,那也会非常有帮助。我们正在努力确保我们的注销实际上将应用程序设置为
我有一个 Rails 应用程序,它与其他 Rails 应用程序通信以进行数据插入。我使用 jQuery $.post 方法进行数据插入。对于插入,我的其他 Rails 应用程序显示 200 OK。但在
我正在为服务于发布请求的 API 调用运行单元测试。我正在传递请求正文,并且必须将响应作为帐户数据返回。但我只收到断言错误 注意:数据是从 Azure 中获取的 spec.js const accou
我是一名优秀的程序员,十分优秀!