我有一个 Play 2.3.7 应用程序,我配置了 session.maxAge 值。身份验证是通过 session 中的 token 完成的。如果我登录,允许 maxAge 持续时间过去,并尝试调用端点,我会按预期收到 401。但是,如果我在 cookie 仍然有效时从浏览器复制 cookie,让它过期,然后手动将 cookie 添加回浏览器的 cookie,看起来 cookie 再次起作用。
我的问题是:
- Cookie 过期是否仅在浏览器上强制执行?
- 如果是这样,是否让开发人员永久性地使 cookie 过期 如果需要?
最佳答案
简答
- 是
- 是
详情
看起来您只是进行了简单的身份验证,所以您将所有 session 信息存储在 cookie 中。 Play 只确保 cookie 被正确签名。就这样。因此,如果您将复制并传递相同的 cookie,那么是的 - 它会起作用,是的 - 它会永远起作用(直到您在服务器端更改 key )
更多
请阅读@biesior 对这个问题的回答 Play framework how do sessions and cookies work?
关于scala - Play 2.3 cookie 在过期后仍然可用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35931454/