[請益] 關於 session 和 token 共存的問題

作者: herbacin (herbacin)   2017-10-05 23:31:44
請問一下各位,
關於session 和 token驗證機制同時存在的問題,
目前網站會使用session來驗證使用者是否登入,
而在呼叫API的時候, ajax必須帶token(由server產出)進行驗證.
所以會碰到一個問題, 就是token沒有過期, 但session過期 ;
或是session過期但token沒有過期, 兩個expire time不一致的情況,
我目前作法是任何一個失效都導到登入頁面.
因為不想沒次呼叫api的時候延長session時間或每次訪問頁面的時候延長token時間,
這樣感覺成本太大, 不知有沒有比較好的作法呢, 大家都如何處理?
謝謝
作者: MangoTW (不在線上)   2017-10-06 02:27:00
既然都認身份證了,何必再看健保卡呢?
作者: newton2009 (好瘦唷QQ)   2017-10-06 09:07:00
哪個是身份證?哪個是健保卡?
作者: MOONRAKER (㊣牛鶴鰻毛人)   2017-10-06 09:48:00
哪個是哪個是有什麼差別。
作者: kyleJ (資工人)   2017-10-06 10:09:00
如果是為了防CSRF還是得看雙證件囉
作者: pc031564 (pc031564)   2017-10-06 12:37:00
每一分鐘亮出你的健保卡
作者: MOONRAKER (㊣牛鶴鰻毛人)   2017-10-06 13:26:00
唉唷還有CSRF好煩每次延長sess/token時間不就expiry改一下 有什麼成本嗎
作者: newversion (海納百川)   2017-10-06 17:21:00
1. 每次 -> 改成random延長2. 選特定時間比對

Links booklink

Contact Us: admin [ a t ] ucptt.com