對於我的應用程序,我正在實施與zentask中顯示的相同的安全性。發揮關於cookie和會話的框架安全問題
public class Secured extends Authenticator {
@Override
public String getUsername(Context ctx) {
return ctx.session().get("email");
}
@Override
public Result onUnauthorized(Context ctx) {
ctx.flash().put("error", "please login to proceed");
return redirect(routes.Application.index());
}
}
當用戶通過驗證isuser session().put("email", email)
;
我有兩個問題。首先:當用戶離開應用程序而不使用註銷時,您如何使會話失效?其次更嚴重的是我使用firefox插件cookies manager+
檢查了cookie,我可以複製一個cookie並稍後粘貼它,因此我可以訪問方法而不必先登錄,基本上我可以竊取會話
「,但會話令牌也容易受此影響。」在普通服務器上,當我註銷時,任何盜取我的cookie的人都不能再使用它了。是的,曲奇不應該被盜,但需要深度防守。 – 2015-03-07 02:36:03
這個。應該實施到Play中。 – BAR 2015-08-23 01:39:32