对于我的应用程序,我正在实施与zentask中显示的相同的安全性。发挥关于cookie和会话的框架安全问题
public class Secured extends Authenticator {
@Override
public String getUsername(Context ctx) {
return ctx.session().get("email");
}
@Override
public Result onUnauthorized(Context ctx) {
ctx.flash().put("error", "please login to proceed");
return redirect(routes.Application.index());
}
}
当用户通过验证isuser session().put("email", email)
;
我有两个问题。首先:当用户离开应用程序而不使用注销时,您如何使会话失效?其次更严重的是我使用firefox插件cookies manager+
检查了cookie,我可以复制一个cookie并稍后粘贴它,因此我可以访问方法而不必先登录,基本上我可以窃取会话
“,但会话令牌也容易受此影响。”在普通服务器上,当我注销时,任何盗取我的cookie的人都不能再使用它了。是的,曲奇不应该被盗,但需要深度防守。 – 2015-03-07 02:36:03
这个。应该实施到Play中。 – BAR 2015-08-23 01:39:32