我有一个Play 2.3.7应用程序,我已经配置了session.maxAge值。身份验证通过会话中的令牌完成。如果我登录,允许maxAge持续时间通过,并尝试呼叫端点,我会按预期获得401。但是,如果我在浏览器仍然有效的情况下复制cookie,让它过期,然后手动将cookie添加回浏览器的cookie,则cookie似乎再次起作用。
我的问题是:
答案 0 :(得分:1)
简短答案
详情
看起来您只进行了简单的身份验证,因此您将所有会话信息存储在Cookie中。播放只确保cookie正确签名。这就是全部。因此,如果您将复制并通过相同的cookie然后是 - 它将工作,是的 - 它将永远有效(直到您更改服务器端的密钥)
更多
请阅读@biesior对此问题的回答 Play framework how do sessions and cookies work?