php - Yii2 中的 Web 安全认证问题

问题描述

我有一个在线网站，最近有人向我报告了一个严重的错误

用户已登录并向朋友发送链接（在 url 中没有任何凭据）。第二个用户奇怪地拥有访问权限，并且似乎登录为第一个帐户！（第二个用户第一次访问该网站）

另一个用户（与其他用户）在 20 天前发生了同样的问题

我使用最新版本的 Yii2，我的配置是

'request' => [
            'csrfParam' => 'my-csrf-user',
            'cookieValidationKey' => <random string>,
            'enableCookieValidation' => true,
            'enableCsrfValidation' => true,
        ],
        'user' => [
            'identityClass' => 'path\models\User',
            'enableAutoLogin' => true,
            'identityCookie' => ['name' => 'identity-user', 'httpOnly' => true],
        ],
        'session' => [
            'name' => 'session-user',
        ],

我尝试自己重现此错误（在同一台 PC 上使用 chrome 和 firefox）但没有运气（没有发现任何问题）

你知道发生了什么吗？我的配置中是否存在任何无状态问题？我怀疑 enableAutoLogin 但我不确定。

我仅从使用 CDN 和 https 协议的特定查询中使用缓存。

您认为问题可能出在服务器配置上吗？

提前致谢

标签： phpsecuritysessionauthenticationyii2