在极少数情况下,我会遇到一些跨会话身份污染问题。 追逐这个我注意到了一些对我没有意义的事情。
我在我的ui中使用x登录(使用CORS服务堆栈服务器)并观察ss-id cookie值。
我使用auth / logout注销,然后以其他用户身份登录,并且ss-id cookie值保持不变,但服务器中的会话值(身份等)似乎没问题。
这是正常的吗?不是ss-id cookie是一个会话cookie,因此不应该在不同的会话中保持不变吗?
由于
答案 0 :(得分:0)
浏览器可能会保留会话cookie,直到选项卡或窗口关闭。您可能希望在注销时从客户端删除会话cookie,并在注销时从服务器端使其无效。
答案 1 :(得分:0)
Session wiki解释了临时ss-id和永久ss-pid会话Cookie。
如果您关闭浏览器会话,您的临时ss-id将会丢失,下次您访问ServiceStack时,将生成一个新的。浏览器重启后,ss-pid永久性Cookie将继续存在。
注销只删除针对这些cookie存储的服务器会话(即基本上使它们成为匿名用户),它不会自行删除cookie。