【发布时间】:2012-03-28 18:56:12
【问题描述】:
我使用以下软件包在我的网站中使用了记住我功能:http://www.jasperrooswinkel.com/unexpected-expiration-of-zend_auth-sessions/。它工作正常。但是我面临一个问题,被删除的用户可以仅仅因为保持登录状态而访问帐户。
场景如下:
- 用户登录后设置让我保持登录状态。
- 他在未退出的情况下关闭系统。
- 他的帐户在当天晚上被删除。
- 他第二天早上去现场。
由于他设置了保持登录状态,因此他获得了会话,并且可以在他的帐户中发布故事并执行任何操作,而无需知道他的帐户在前一天已被删除。另外,我设置了 14 天的记忆。
任何想法如何解决这个问题?
谢谢
【问题讨论】:
-
您只能检查您检查的内容。当会话结束并且用户被删除并且持久登录程序启动以保持用户登录时,它需要验证用户仍然存在。
-
真的取决于用户如何进行身份验证。您可以尝试访问您的数据库并手动删除他的帐户。
-
shirley 网站应该检查何时编辑或发布了用户是否有权这样做?否则,如果它给您带来这么多麻烦,我建议删除保持登录选项。或者,您可以检查会话信息以查看该用户在第二天返回该站点时是否仍然存在。除此之外,我想不出一个好的方法来执行此操作。
标签: php zend-framework remember-me stay-logged-in