我存储我的会话ID Redis,我的会话ID是全局唯一的,每次登录都会生成一个新的会话ID,所以即使是同一个用户仍然会有不同的会话ID。所以我无法破坏用户的会话,因为我无法找到它。那么我该如何设计,以满足我的需求?
答案 0 :(得分:0)
会话是一个安全问题。我建议使用库/框架来完成它。如果您手动推出自己的解决方案并且操作错误,则会将用户打开至会话hijacking,prediction和/或fixation。那些都不好。
如果你正在使用一个会话库并且不可能做你想做的事而不认真对待,那可能是有原因的。
如果你真的想要自己而不是使用会话库,请启动here。
答案 1 :(得分:0)
你可以:
createdAt sessionExpire user.sessionExpire方法resetPassword
user.sessionExpire,然后将其与当前session.createdAt进行比较session.createdAt < user.sessionExpire然后退出