作者herbacin (herbacin)
看板PHP
标题[请益] 关於 session 和 token 共存的问题
时间Thu Oct 5 23:31:44 2017
请问一下各位,
关於session 和 token验证机制同时存在的问题,
目前网站会使用session来验证使用者是否登入,
而在呼叫API的时候, ajax必须带token(由server产出)进行验证.
所以会碰到一个问题, 就是token没有过期, 但session过期 ;
或是session过期但token没有过期, 两个expire time不一致的情况,
我目前作法是任何一个失效都导到登入页面.
因为不想没次呼叫api的时候延长session时间或每次访问页面的时候延长token时间,
这样感觉成本太大, 不知有没有比较好的作法呢, 大家都如何处理?
谢谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.248.203.3
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PHP/M.1507217506.A.41A.html
1F:→ MangoTW: 既然都认身份证了,何必再看健保卡呢? 10/06 02:27
2F:推 newton2009: 哪个是身份证?哪个是健保卡? 10/06 09:07
3F:→ MOONRAKER: 哪个是哪个是有什麽差别。 10/06 09:48
4F:推 kyleJ: 如果是为了防CSRF还是得看双证件罗 10/06 10:09
5F:推 pc031564: 每一分钟亮出你的健保卡 10/06 12:37
6F:→ MOONRAKER: 唉唷还有CSRF好烦 10/06 13:26
7F:→ MOONRAKER: 每次延长sess/token时间不就expiry改一下 有什麽成本吗 10/06 13:27
8F:推 newversion: 1. 每次 -> 改成random延长 10/06 17:21
9F:→ newversion: 2. 选特定时间比对 10/06 17:22