Chrome 关闭后 Jsessionid cookie 不会过期

【问题标题】:Jsessionid cookie doesn't expire after Chrome closingChrome 关闭后 Jsessionid cookie 不会过期
【发布时间】:2014-05-11 08:20:06
【问题描述】:

我使用 Shiro 框架进行身份验证。

问题是:当我关闭 Chrome 浏览器并再次打开它时,我仍然可以访问受保护的 URL。如果我手动删除 jsessionid cookie 一切正常,则禁止访问受保护的 URL。在 jsessionid 的设置中,我看到:过期:浏览会话结束时。所以,它应该过期,但它没有。我也在firefox中做了这个操作,没有那个问题。我什至不知道用哪种方式调查。

附:我不使用 shiro 记住我的功能。但是,无论如何,在使用时,Shiro 会创建另一个 cookie(名为 rememberMe)。

【问题讨论】:

    标签: java security cookies shiro jsessionid


    【解决方案1】:

    这是 Chrome 上的已知行为。与 Apache Shiro 无关。这是链接:

    https://productforums.google.com/forum/#!topic/chrome/9l-gKYIUg50/discussion

    认为 Google 已将此标记为 WONTFIX,因此很可能我们将不得不忍受这一点。为了解决这个问题,我将 max-age 设置为某个可接受的值,以便 FF 和 Chrome 可以具有相同的行为。否则,当 FF 在窗口关闭时将我注销时,Chrome 可能会继续保持会话,不管它决定的长度。

    另一种方法是在 Shiro 中触发 Session 验证以收集 Shiro 中所有过期的会话并使它们无效。这样,任何尝试使用过期会话登录的客户端都会被告知。此时您可以选择将用户重定向到登录页面。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2015-08-03
      • 1970-01-01
      • 2018-05-25
      • 2011-06-23
      • 1970-01-01
      • 2011-04-21
      • 2014-03-02
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode