个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我已经实现了 Improved Persistent Login Cookie Best Practice对于“记住我”选项。
当请求按顺序(传统页面加载)时,这可以正常工作。在这种情况下,您可以确定下一个请求将具有相同的系列标识符和服务器上次发送的 token 。
但在 AJAX 请求的情况下,多个请求并行来自同一个浏览器,第一个请求将导致生成新的 token 号。但是其他请求不会有这个新生成的 token 号,我们会拒绝访问,将其视为盗窃。
我们如何解决这个问题?
最佳答案
基于上述 Drupal 线程 ( https://www.drupal.org/node/327263#comment-3428038 ) 上提出的解决方案,我想知道我们是否不能拥有更简单的算法。
与其将“旧”替换的 token 存储在短期缓存表中,为什么不使用当前用户 session ?
1. User logs in with PL cookie
If series & token are in PL table:
2. User session is populated with the last valid token
3. new token is given to client
4. user is logged in
If series key is in PL table, but token is not:
2. check if current user session still holds the latest replaced token
If found:
3. user is logged in. No new token is provided since one was generated in the first request.
If not found:
3. Assume keys are stolen - series is destroyed
关于ajax - 如何将持久登录 cookie 与并行 AJAX 请求结合起来?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13613526/
26
4
0
我是一名优秀的程序员,十分优秀!