单点登录,登出后cookie继续生效
missuzhang opened this issue · 0 comments
missuzhang commented
问题描述:
现象一:更换账号从fe登录后,portal上的登录人和权限仍然是前一次登录时的。
现象二:
1, 使用root从fe登录,然后进入portal。此时可以从浏览器将cookie信息保存到文件。
2, 进入fe,logout.然后使用1步中保存的cookie调用api,可以继续执行。
从现象一和现象二判断,服务器端并没有验证cookie的有效性。有可能cookie中只存了用户信息,并未存token之类的权限验证,或者存了token但是没有验证有效性。
建议:服务器端对cookie进行有效性检验,与当前数据库中保存的session进行对比,如果失效或者不存在,则认证失败,跳转到登录页面。