堆棧內存溢出
  簡體   English   中英

Spring 引導:注銷后,帶有過期 Cookie 的請求仍然可用

[英]Spring boot: Requests with an expired Cookie is still available after logging out

 原文  2023-01-30 03:44:05       spring-boot/ cookies/ spring-security

問題描述

在 spring 引導項目中,當用戶注銷時,我們使用以下代碼塊使 cookie 失效:

//name = "Token"
//value = "expired"
//age = 0
private void setExpiredCookie(HttpServletResponse response, String name, String value, int age) {
    Cookie cookie = new Cookie(name, value);
        cookie.setSecure(true); //Send cookie to the server only over an encrypted HTTPS connection
        cookie.setHttpOnly(true); //Preventing cross-site scripting attacks
        cookie.setPath("/"); //Global cookie accessible every where
        cookie.setMaxAge(age); //Deleting a cookie. I Passed the same other cookie properties when you used to set it

        response.addCookie(cookie);
}

然而,在注銷后,我用一個應用程序測試了我的網站,以捕獲請求並通過中繼器重新發送它,並使用准確的值,例如令牌和有效負載。

例如,我拒絕了更改 email 地址的請求,盡管已注銷,但此請求在 15 分鍾內有效(對於原始 cookie 的生命周期)。

我錯過了什么? 因為我正在妥善刪除和保護 cookies。

1 個解決方案

解決方案1
 0  2023-01-30 06:50:36

您只是在創建新的 cookie。 您應該使用 session id 使 cookie 無效,該 id 在您進行身份驗證時提供給您。 只需使用這個:

HttpSession session = httpServletRequest.getSession(false);
session.invalidate();

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 記錄@Controller請求Spring Boot Spring 啟動安全性 - 允許使用過期 JWT 令牌的用戶請求 Spring Boot invalidDataAccessApiUsageException - OUT/INOUT 參數不可用 使用 TestContainers 和 HikariPool-1 的 Spring 啟動 - 連接不可用,請求在 30000 毫秒后超時 會話過期后的 Ajax 調用未重定向到登錄頁面 - Spring Boot 嘗試為 Spring Boot 中的請求創建“通用”日志記錄解決方案 遷移到 Spring Boot 3 后 TraceId 和 SpanId 不可用 Spring 引導啟用 http 請求日志記錄(訪問日志) CSRF 令牌已配置,但 POST 請求在 spring 啟動應用程序中仍然不起作用 Spring Boot在AWS上的Docker上登錄到System Out是否會導致內存泄漏?
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM