所以,我认为是因为 JSESSIONID cookie 导致了问题,但不太确定,就这样吧。
基本上,用户在登录时需要输入一个特殊的令牌。但不知何故,即使不输入该令牌,用户也能够访问私人/会员页面。
所以用户输入凭据减去令牌,弹出错误,用户忽略它。当然,由于存在该错误,因此不会将用户定向到成员页面。但是用户可以手动输入特定的会员页面并访问它。
- 用户访问 mysite.com/home
- 用户输入用户名/密码,没有令牌 --> 错误弹出
- 用户忽略弹出的错误,手动输入 mysite.com/member/home 并访问它
我相信它是 jsessionid,一旦我删除了那个 cookie,对成员页面的访问也消失了。
有任何想法吗?