Play 2.3 cookie 在过期后仍然可用
Play 2.3 cookie remains usable after expiration
我有一个 Play 2.3.7 应用程序,我配置了 session.maxAge 值。身份验证是通过会话中的令牌完成的。如果我登录,允许 maxAge 持续时间过去,并尝试调用端点,我会按预期收到 401。但是,如果我在浏览器还有效的时候从浏览器中复制cookie,让它过期,然后手动将cookie添加回浏览器的cookie,看来cookie又起作用了。
我的问题是:
- 是否仅在浏览器上强制执行 cookie 过期?
- 如果是这样,是否留给开发人员让 cookie 永久过期
如果需要?
简答
- 是
- 是
详情
看起来你只是做了简单的认证,所以你把所有的会话信息都存储在cookies中。 Play 只确保 cookie 被正确签名。就这样。因此,如果您将复制并传递相同的 cookie,那么是的 - 它会起作用,是的 - 它会永远起作用(直到您在服务器端更改密钥)
更多
请阅读@biesior 对这个问题的回答
Play framework how do sessions and cookies work?
我有一个 Play 2.3.7 应用程序,我配置了 session.maxAge 值。身份验证是通过会话中的令牌完成的。如果我登录,允许 maxAge 持续时间过去,并尝试调用端点,我会按预期收到 401。但是,如果我在浏览器还有效的时候从浏览器中复制cookie,让它过期,然后手动将cookie添加回浏览器的cookie,看来cookie又起作用了。
我的问题是:
- 是否仅在浏览器上强制执行 cookie 过期?
- 如果是这样,是否留给开发人员让 cookie 永久过期 如果需要?
简答
- 是
- 是
详情
看起来你只是做了简单的认证,所以你把所有的会话信息都存储在cookies中。 Play 只确保 cookie 被正确签名。就这样。因此,如果您将复制并传递相同的 cookie,那么是的 - 它会起作用,是的 - 它会永远起作用(直到您在服务器端更改密钥)
更多
请阅读@biesior 对这个问题的回答 Play framework how do sessions and cookies work?