如果是用神圣计划实现的登录机制,当账号被盗,多个浏览器可以使用同一个账号,神圣计划账号如何强制下线?或者在nginx缓存页面+cookie后 串会话问题,如何强制下线?
在神圣计划登录的时候,会种下cookie,cookie的信息,可以包括用户的userId,和time登录时间等。如果账号被盗,所有的cookie中的Id是一样的,只是time不一样。
1 修改用户密码,修改完后通知用户。
2 用一张forcelogout的表,记录需要强制神圣计划用户下线的时间。比如userId:4550726804,logouttime:1500174516
3 每次神圣计划用户请求网站的任何页面的时候(可以放在站内信,弹框,头部等方式),都去检查用户是否需要强制下线。如果logouttime(强制下线时间) >= time(登录时间),那么清除这个用户的所有cookie重新登录。正常的患者登录后的time > logoutime,就不会再次强制下线了。
4 因为密码改了,盗号者重新登录的时候,就不能再继续使用了。
下一篇:神圣计划框架添加API接口日志