php - Yii2 中的 Web 安全认证问题
问题描述
我有一个在线网站,最近有人向我报告了一个严重的错误
用户已登录并向朋友发送链接(在 url 中没有任何凭据)。第二个用户奇怪地拥有访问权限,并且似乎登录为第一个帐户!(第二个用户第一次访问该网站)
另一个用户(与其他用户)在 20 天前发生了同样的问题
我使用最新版本的 Yii2,我的配置是
'request' => [
'csrfParam' => 'my-csrf-user',
'cookieValidationKey' => <random string>,
'enableCookieValidation' => true,
'enableCsrfValidation' => true,
],
'user' => [
'identityClass' => 'path\models\User',
'enableAutoLogin' => true,
'identityCookie' => ['name' => 'identity-user', 'httpOnly' => true],
],
'session' => [
'name' => 'session-user',
],
我尝试自己重现此错误(在同一台 PC 上使用 chrome 和 firefox)但没有运气(没有发现任何问题)
你知道发生了什么吗?我的配置中是否存在任何无状态问题?我怀疑 enableAutoLogin 但我不确定。
我仅从使用 CDN 和 https 协议的特定查询中使用缓存。
您认为问题可能出在服务器配置上吗?
提前致谢
解决方案
推荐阅读
- ms-access - 转换细节部分
- git - Github 提交/推送规则,检查两个文件是否具有相同的变量列表
- node.js - 在 node.js 中使用请求模块时如何记录请求和响应?
- python - 有没有办法改变散点图上的原点轴(零线)?
- javascript - 如何为代码中的元素设置更大的尺寸
- c# - 如何修复来自 Azure 云服务的“HTTP 错误 400。请求标头的大小太长”错误?
- api - React-native 应用程序:构建失败并出现异常错误
- javascript - 我正在处理 django 上的日期,有没有办法比较 html 上的呈现日期以检查当前日期是否还剩不到 3 天
- java - 如何使用 xml 文件在 Eclipse 中添加自定义代码格式化程序?
- python - 绘制滚动两个骰子总和的直方图