播放框架会话和 cookie 是如何工作的？

Posted 2023-03-10

【中文标题】播放框架会话和 cookie 是如何工作的？

【英文标题】：Play framework how do sessions and cookies work?

【发布时间】：2013-01-15 16:09:58

【问题描述】：

play 如何验证 cookie？

我注意到在我重新启动服务器后我仍然登录，即使我 不要在数据库中保存任何会话数据。 我也注意到了 我可以将服务器上的日期设置为大于过期时间 cookie 的日期，我仍然登录。 我退出了 （将 cookie 保存到文本文件）并且浏览器丢失了 cookie。然后我 从文本文件中重新创建了 cookie，我又重新登录了。

cookie 如下所示：

PLAY_SESSION=e6443c88da7xxxxxxxxxxxxxxxxxxxxxxxxxxxxx-userid%3A1

// My logout code
def logout() = Action 
  Ok("").withNewSession

---

From the documentation放弃整个会话 有一个特殊的操作会丢弃整个会话：

Ok("Bye").withNewSession

【参考方案1】：

您没有指定如何对用户进行身份验证，所以我只是猜测，您正在使用简单的示例，它很简单。

它使用用户的 id 来识别用户，并检查签名会话 cookie 是否未被操纵，因此如果您使用正确的签名重新创建 cookie，它仍然有效。

您应该在服务器端为会话密钥创建一些区域，即。在数据库或内存缓存中（这将比数据库快）。它的密钥应该为每个成功的登录操作随机生成（并且最好是相当长的），并且还应该包含用于识别用户、到期日期等的数据。接下来你应该把这个随机的 sess_key 放到 Play 的会话中，而不是登录用户的电子邮件地址或他在 DB 中的行的 ID，并在注销和/或到期日期之后将其删除。在这种情况下，即使您在注销后丢失 cookie，也无法使用非 esixting sess_key 正确登录。

AFAIR 标准内存缓存将在应用程序每次重新启动时被清除，以确保从 DB 中删除所有 sess_keys，您可以使用 Global object 并在 onStart(...) 方法中截断表。

【讨论】：

此时简单地远离 Play 的会话生态系统是否公平（就身份验证而言）？我正在考虑使用 redis 作为半持久缓存来管理 sesh id，并单独使用 Play 的会话来存储公共会话数据。这个计划听起来不错？

【参考方案2】：

我发现答案阅读the documentation更仔细并结合不同的部分。

会话没有技术超时。它到期时 用户关闭网络浏览器。如果您需要功能超时 特定应用程序，只需将时间戳存储到用户会话中，然后 根据您的应用程序需要使用它（例如，用于最大会话 持续时间、最长不活动持续时间等）。

---

重要的是要了解 Session 和 Flash 数据不是 由服务器存储但添加到每个后续 HTTP 请求中， 使用cookie机制。这意味着数据量非常大 有限（最多 4 KB）并且您只能存储字符串值。

---

所以我担心的是，如果 cookie 丢失，将来任何人都可以登录服务器。

我必须做的是添加一个自制的时间戳授权（在 cookie 中保存一个时间戳并验证服务器端）

【讨论】：

"如果 cookie 丢失，以后任何人都可以登录服务器"，这意味着什么？如果没有 cookie，就没有访问权限，都是客户端，Play 只是确保（签名的）cookie 本身没有被篡改。

不要认为迷失是虚无，而是误入歧途。

以后，请链接到相关文档，以便阅读您答案的读者进一步调查。