我已经为"记住我"选项实现了改进的持久登录Cookie最佳实践.
当请求按顺序(传统页面加载)时,这可以正常工作.在这种情况下,您确定下一个请求将具有相同的系列标识符和服务器上次发送的令牌.
但是在AJAX请求的情况下,多个请求从同一浏览器并行进入,第一个请求将导致生成新的令牌号.但其他请求将不会有这个新生成的令牌号码,他们将拒绝访问,将其视为盗窃.
我们如何解决这个问题?
我认为您对 CSRF(跨站请求伪造)保护令牌感到困惑。CSRF 令牌通过禁用未经身份验证的“功能执行”的可能性来保护应用程序。他们通过向每个响应发出不可推导的令牌,并在收到请求时对其进行验证来实现这一点。
记住我功能是一项允许用户登录的功能,即使原始会话早已消失。无需再次提供他的用户名/密码。您应该在每次成功登录时设置一次或一次记住我令牌。不是在每个回复中。您没有在每个响应中设置会话 cookie 为什么要设置“记住我”令牌?
| 归档时间: |
|
| 查看次数: |
993 次 |
| 最近记录: |