1

假设用户在网站中被禁止,但他的会话仍然处于活动状态。阻止他执行被禁止用户不允许执行的操作的最佳方法是什么

我想出的两个合理的解决方案是

  • 在每个“主要”操作之前进行额外检查,例如在论坛中发帖,发送私人消息等,以确保他没有被禁止(检查数据库)

  • 破坏他的会话

现在,后一种解决方案可以通过为 cookie 设置过期时间来完成,但这对于其他用户来说会很麻烦,因为他们必须重新登录。

其他选项是在脚本检查他是否被数据库禁​​止的会话中设置超时,然后如果他被禁止则销毁他的会话,但这似乎有点太多了。

处理这个问题的最佳方法是什么?

4

2 回答 2

1

如果我理解您为设置 cookie 设置过期时间的意思,我建议您不要这样做。您希望控件位于服务器端 - 不要信任您的客户端;他们可以很容易地防止他们这边的 cookie 被破坏。

希望您使用的任何框架都可以删除与用户会话关联的服务器端数据,而不是使客户端的会话 ID 无效。

于 2013-06-28T07:21:17.417 回答
0

如果您的应用程序是面向对象的,您可以检查您的构造函数,如果用户被禁止,如果他是,取消他的会话/调用注销功能。

于 2013-04-20T22:15:35.870 回答