我在线上有一个网站,最近有人向我报告了一个严重的错误
用户已登录并发送了一个链接(URL中没有任何凭据)给朋友。 第二个用户奇怪地具有访问权限,并且似乎作为第一个帐户登录了!! (第二位用户首次访问该网站)
在20天前,另一个用户(与另一个用户)发生了相同的问题
我使用的是最新版本的Yii2,我的配置是
'request' => [
'csrfParam' => 'my-csrf-user',
'cookieValidationKey' => <random string>,
'enableCookieValidation' => true,
'enableCsrfValidation' => true,
],
'user' => [
'identityClass' => 'path\models\User',
'enableAutoLogin' => true,
'identityCookie' => ['name' => 'identity-user', 'httpOnly' => true],
],
'session' => [
'name' => 'session-user',
],
我试图自己重现此错误(在同一台PC上使用chrome和firefox),但没有运气(没有发现任何问题)
您知道发生了什么吗? 我的配置中是否存在无状态问题?我怀疑enableAutoLogin,但不确定。
我仅使用特定查询中的缓存 我使用CDN和https协议。
您认为问题可能出在服务器配置上吗?
预先感谢