PTT數位生活區 / PHP

[請益] 關於 session 和 token 共存的問題

看板PHP作者 (herbacin)時間7年前 (2017/10/05 23:31), 編輯推噓4(405)
留言9則, 6人參與, 7年前最新討論串1/1
請問一下各位, 關於session 和 token驗證機制同時存在的問題, 目前網站會使用session來驗證使用者是否登入, 而在呼叫API的時候, ajax必須帶token(由server產出)進行驗證. 所以會碰到一個問題, 就是token沒有過期, 但session過期 ; 或是session過期但token沒有過期, 兩個expire time不一致的情況, 我目前作法是任何一個失效都導到登入頁面. 因為不想沒次呼叫api的時候延長session時間或每次訪問頁面的時候延長token時間, 這樣感覺成本太大, 不知有沒有比較好的作法呢, 大家都如何處理? 謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.248.203.3 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1507217506.A.41A.html
10/06 02:27, 7年前 , 1F
既然都認身份證了,何必再看健保卡呢?
10/06 02:27, 1F
10/06 09:07, 7年前 , 2F
哪個是身份證?哪個是健保卡?
10/06 09:07, 2F
10/06 09:48, 7年前 , 3F
哪個是哪個是有什麼差別。
10/06 09:48, 3F
10/06 10:09, 7年前 , 4F
如果是為了防CSRF還是得看雙證件囉
10/06 10:09, 4F
10/06 12:37, 7年前 , 5F
每一分鐘亮出你的健保卡
10/06 12:37, 5F
10/06 13:26, 7年前 , 6F
唉唷還有CSRF好煩
10/06 13:26, 6F
10/06 13:27, 7年前 , 7F
每次延長sess/token時間不就expiry改一下 有什麼成本嗎
10/06 13:27, 7F
10/06 17:21, 7年前 , 8F
1. 每次 -> 改成random延長
10/06 17:21, 8F
10/06 17:22, 7年前 , 9F
2. 選特定時間比對
10/06 17:22, 9F
更多 herbacin 的文章
文章代碼(AID): #1Prb1YGQ (PHP)
PHP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 herbacin 的文章
文章代碼(AID): #1Prb1YGQ (PHP)