如果我使用ServiceStack的Auth服务在以下路由下进行身份验证: “/ auth / credentials”
我在请求中伪造/添加cookie ss-id =“BLABLA” ServiceStack设置值 ss-id =“BLABLA”在响应中。这是为什么?
答案 0 :(得分:2)
我不知道我能回答“为什么?”在意图方面。但这就是代码方面的原因:
request.GetSessionId() extension将从Cookie中拉出(伪造与否)。
SessionFeature和SessionFactory中的GetOrCreateSession()将检查现有会话的缓存,并使用它。否则,将创建一个新会话。
因此可能会出现使用ss-id“BLABLA”创建新会话的情况。