假设用户在网站中被禁止,但他的会话仍处于活动状态。什么是阻止他执行禁止用户 允许的操作的最佳方法?
我提出的两个看似合理的解决方案是
在每个“主要”操作之前进行额外检查, 比如在论坛中发帖,发送私信等,以确保 他没有被禁止(检查数据库)
摧毁他的会议
现在,后一种解决方案可以通过设置cookie的到期时间来完成,但这对其他用户来说是麻烦的,因为他们必须再次登录。
其他选项是在会话中设置超时,在该会话中,脚本会检查他是否被数据库禁止,然后如果他被破坏了会话,但这看起来有点太多了。
处理此问题的最佳方法是什么?
答案 0 :(得分:1)
如果我通过为设置Cookie设置过期了解您的意思,我会建议您反对它。您希望控件位于服务器端 - 不要相信您的客户;他们可以很容易地防止他们身边的饼干被摧毁。
希望您使用的任何框架都有一种方法可以删除与用户会话相关联的服务器端数据,而不是使客户端的会话ID无效。
答案 1 :(得分:0)
如果您的应用程序是面向对象的,您可以检查构造函数,如果用户被禁止,如果是,则取消设置会话/调用注销功能。