Scala Play 2.3 cookie在过期后仍然可用
我有一个Play 2.3.7应用程序,配置了Scala Play 2.3 cookie在过期后仍然可用,scala,security,playframework,session-cookies,Scala,Security,Playframework,Session Cookies,我有一个Play 2.3.7应用程序,配置了session.maxAge值。身份验证通过会话中的令牌完成。如果我登录,允许maxAge持续时间通过,并尝试调用一个端点,我会得到预期的401。但是,如果我在cookie仍然有效的情况下从浏览器复制cookie,让它过期,然后手动将cookie添加回浏览器的cookie,则cookie似乎再次工作 我的问题是: cookie过期是否仅在浏览器上强制执行 如果是这样,是否让开发人员永久终止cookie 如果需要的话 简短回答 对 对 详细信息 看起来您
session.maxAge
值。身份验证通过会话中的令牌完成。如果我登录,允许maxAge
持续时间通过,并尝试调用一个端点,我会得到预期的401。但是,如果我在cookie仍然有效的情况下从浏览器复制cookie,让它过期,然后手动将cookie添加回浏览器的cookie,则cookie似乎再次工作
我的问题是:
简短回答
非常感谢!那么,如果会话最大年龄仍然可用,那么它到底有什么意义呢?嗯,历史上在play 2.0中没有这个设置,但后来(我想是2.3)它被添加到了“用户请求”中。在MVP场景中,当应用程序需要在短时间内为少数“选定用户”准备好时,它看起来很有意义。然后您可以使用这个简单的伪超时,然后添加对令牌和超时的完全支持。听起来像是一个危险的蜜罐。谢谢你的澄清!