播放2.3 cookie在到期后仍然可用

时间:2016-03-11 03:01:06

标签: scala security playframework session-cookies

我有一个Play 2.3.7应用程序,我已经配置了session.maxAge值。身份验证通过会话中的令牌完成。如果我登录,允许maxAge持续时间通过,并尝试呼叫端点,我会按预期获得401。但是,如果我在浏览器仍然有效的情况下复制cookie,让它过期,然后手动将cookie添加回浏览器的cookie,则cookie似乎再次起作用。

我的问题是:

  1. 是否仅在浏览器上强制执行Cookie过期?
  2. 如果是这样,是否让开发人员永久过期cookie 如果需要?

1 个答案:

答案 0 :(得分:1)

简短答案

  1. 详情

    看起来您只进行了简单的身份验证,因此您将所有会话信息存储在Cookie中。播放只确保cookie正确签名。这就是全部。因此,如果您将复制并通过相同的cookie然后是 - 它将工作,是的 - 它将永远有效(直到您更改服务器端的密钥)

    更多

    请阅读@biesior对此问题的回答 Play framework how do sessions and cookies work?