2
今天下午我注意到了一些非常有趣的事情 - 當我清除我的瀏覽器緩存和Cookie時,Twitter立即讓我出去。Twitter.com如何在註銷緩存後註銷用戶?
我假設他們每隔一秒左右通過Javascript輪詢一次認證cookie,並在缺少cookie的情況下注銷用戶。任何其他猜測如何做到這一點?因爲這是我第一次遇到這種行爲,所以我想知道它是多麼普通,實現它的最佳方式,以及實現它時應該具有的任何安全問題(如果有的話)。
A
回答
3
任何網站知道您登錄的唯一方法是通過您的瀏覽器在隨後的請求中發送的cookie。如果cookie不再存在,那麼根據定義,您不再登錄到他們的網站。
我不完全確定你在問什麼「最好的方法來完成它」。最好的方法來完成什麼?
如果你問什麼是最好的方式來完成保持瀏覽器登錄通過cookie,然後歸結爲存儲會話或用戶ID在cookie中。會話ID更受歡迎,因爲它是每個「會話」的不同值。
關於在安全方面使用cookie有多常見:它們幾乎無處不在。唯一的時間cookie不用於存儲會話ID是否會話ID出現在查詢字符串中。
現在出於安全考慮。通常這些cookie的使用壽命非常有限,即對於瀏覽器會話,因此當您關閉瀏覽器時,cookie會過期。如果網站啓用了SSL,那麼Cookie的內容在通過網絡時被加密。如果沒有,那麼對於中間人或數據包捕獲攻擊,你沒有任何防禦措施。 (查看firesheep)。
3
當您打開twitter時,一些javascript代碼會定期輪詢服務器以獲取新的推文。發生了什麼事,你清除緩存的時間非常接近於輪詢時間,所以看起來你的緩存清除功能已將你註銷,實際上它只是一個預定的民意調查。既然你清除了你的cookies,當twitter去檢查更多的推文時,這個請求沒有你的登錄cookie和服務器登出你。
我剛剛測試過這個,當我清除我的cookies時,沒有任何反應,直到twitter試圖獲得更多的推文。
相關問題
- 1. 註銷後瀏覽器緩存
- 2. web2py如何註銷用戶
- 3. 在JSP中註銷用戶後清除緩存不允許scriptlet
- 4. 註銷 - 如何清除緩存,asp.net
- 5. 註銷Django當前時區註銷後
- 6. 註銷 - Taleo用戶
- 7. Sharepoint用戶註銷
- 8. 如何在註銷後在asp.net核心中刪除緩存
- 9. IBM Bluemix AppID - 如何註銷/註銷?
- 10. Symfony2 - 用戶註銷後的主頁緩存
- 11. 輸出緩存MVC3只註銷用戶緩存
- 12. RDS用戶註銷腳本緩慢
- 13. 在odoo中註銷後關閉用戶
- 14. 禁止用戶在註銷後導航。
- 15. 在Global.asax註銷用戶
- 16. 在CakePHP中註銷用戶
- 17. 無緩存和註銷在C#/ asp.Net 3.5
- 18. jQuery在註銷時清除緩存
- 19. 如何在php中註銷用戶?
- 20. 如何通知用戶正在註銷?
- 21. 如何讓用戶在Firebase中註銷?
- 22. 如何在Android上使用Oauth註銷/註銷Twitter?
- 23. 從後端註銷
- 24. 用於註銷用戶
- 25. 如何使用facebook SDK註銷用戶?
- 26. 註銷後記住用戶名
- 27. 用戶授予offline_access後無法註銷
- 28. 如何在使用Authlogic時測試註銷/註銷(UserSessionsController銷燬操作)?
- 29. TortoiseGit:如何註銷?
- 30. 如何註銷Facebook?
我想我的問題,然後成爲什麼是檢查auth cookie的最佳方法?是否有建議的做法,監測它的時間間隔等等......據我所知,這是非常罕見的行爲。大多數網站不會主動在客戶端監控cookie,只關心新請求是否經過驗證。 –
@Derek Hunziker:他們沒有監控cookie。 Twitter通過ajax將請求發送回其服務器。根據定義,每個請求都會傳遞cookie。如果cookie不存在,您必須重新登錄。這裏沒什麼神奇的。 – NotMe
@Jeff Ferland:你是對的,不知道我在想什麼。更新了答案。 – NotMe