作者herbacin (herbacin)
看板PHP
標題[請益] 關於 session 和 token 共存的問題
時間Thu Oct 5 23:31:44 2017
請問一下各位,
關於session 和 token驗證機制同時存在的問題,
目前網站會使用session來驗證使用者是否登入,
而在呼叫API的時候, ajax必須帶token(由server產出)進行驗證.
所以會碰到一個問題, 就是token沒有過期, 但session過期 ;
或是session過期但token沒有過期, 兩個expire time不一致的情況,
我目前作法是任何一個失效都導到登入頁面.
因為不想沒次呼叫api的時候延長session時間或每次訪問頁面的時候延長token時間,
這樣感覺成本太大, 不知有沒有比較好的作法呢, 大家都如何處理?
謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.248.203.3
※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1507217506.A.41A.html
→ MangoTW: 既然都認身份證了,何必再看健保卡呢? 10/06 02:27
推 newton2009: 哪個是身份證?哪個是健保卡? 10/06 09:07
→ MOONRAKER: 哪個是哪個是有什麼差別。 10/06 09:48
推 kyleJ: 如果是為了防CSRF還是得看雙證件囉 10/06 10:09
推 pc031564: 每一分鐘亮出你的健保卡 10/06 12:37
→ MOONRAKER: 唉唷還有CSRF好煩 10/06 13:26
→ MOONRAKER: 每次延長sess/token時間不就expiry改一下 有什麼成本嗎 10/06 13:27
推 newversion: 1. 每次 -> 改成random延長 10/06 17:21
→ newversion: 2. 選特定時間比對 10/06 17:22