C 知道

消息
创作中心
douba3975 2019-03-12 01:53
浏览 43
已采纳

注销后如何停止会话缓存经过身份验证的用户数据

This code was leverage here

The code below was used to create users session in Go. The session is working fine.

The issue am having is that after user logout, if I click on browser back button. I can then still see the details of the logout user.

I have leverage stackoverflow solution here but no luck

stackoverflow link

I have also added the following code to logout handler

w.Header().Set("Cache-Control", "no-cache, private, max-age=0")
w.Header().Set("Pragma", "no-cache")
w.Header().Set("X-Accel-Expires", "0")

here is the code

package main

import (
    "fmt"
    "net/http"
   "github.com/gorilla/sessions"
)

var (
    // key must be 16, 24 or 32 bytes long (AES-128, AES-192 or AES-256)
    key = []byte("super-secret-key")
    store = sessions.NewCookieStore(key)
)

func secret(w http.ResponseWriter, r *http.Request) {
    session, _ := store.Get(r, "cookie-name")

    // Check if user is authenticated
    if auth, ok := session.Values["authenticated"].(bool); !ok || !auth {
        http.Error(w, "Forbidden", http.StatusForbidden)
        return
    }

    // Print secret message
    fmt.Fprintln(w, "The cake is a lie!")
        fmt.Fprintln(w, session.Values["foo"])
}

func login(w http.ResponseWriter, r *http.Request) {
    session, _ := store.Get(r, "cookie-name")

    // Authentication goes here

    // Set user as authenticated
  session.Values["authenticated"] = true
  session.Values["foo"] = "bar"
  session.Values[42] = 43
    session.Save(r, w)

fmt.Fprintln(w, session.Values["authenticated"])
fmt.Fprintln(w, session.Values["foo"])
fmt.Fprintln(w, session.Values["2"])
}

func logout(w http.ResponseWriter, r *http.Request) {
    session, _ := store.Get(r, "cookie-name")

    // Revoke users authentication
    session.Values["authenticated"] = false
        session.Values["foo"] = ""
        session.Values[42] = ""
    session.Save(r, w)

// prevent caching
w.Header().Set("Cache-Control", "no-cache, private, max-age=0")
w.Header().Set("Pragma", "no-cache")
w.Header().Set("X-Accel-Expires", "0")


}

func main() {
    http.HandleFunc("/secret", secret)
    http.HandleFunc("/login", login)
    http.HandleFunc("/logout", logout)

    http.ListenAndServe(":8000", nil)
}

展开全部

  • 写回答

1条回答 默认 最新

  • doubingqi5829 2019-03-12 03:23
    关注

    I am afraid there is no way to "fix" your code without using JavaScript and changing the "secret" page before leaving it.

    The problem is not in Go, or in gorilla/sessions, or even in HTTP: it is in the way the web browsers perform caching: at least in Firefox and Chrome, when going "back" and "forward" the browsers just display the cached page from disk, ignoring completely the headers.

    Oh, and BTW: to try to force the browsers to stop caching a page, you should add those lines to the "secret" handler, and not to the "logout" one.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
编辑
预览

报告相同问题?

  • php通过会话控制实现身份验证实例
    2020-10-20 23:16
    身份验证过程中,用户的合法性验证是通过session提交数据来完成的。在无状态的HTTP协议中,服务端无法识别每个独立的用户,因此,PHP通过会话控制提供了一种机制,即为每个用户创建一个唯一的会话(session),通过...
  • 注销后浏览器后退按钮问题
    2021-04-05 15:30
    7. **页面级防护**:对于敏感页面,可以使用`[Authorize]`属性来标记,确保只有经过身份验证用户才能访问。在用户注销后,这些页面应拒绝未登录用户的访问。 8. **使用Post-Redirect-Get(PRG)模式**:在用户...
  • 用户注销后cookie未更新漏洞修改_WEB“三员”中常见越权漏洞产生原因及渗透测试方式分析...
    2020-12-18 17:20
    weixin_39965490的博客 点击蓝字关注我们本文以WEB“三员”系统为例,对WEB“三员”中常见越权漏洞的产生原因以及渗透测试方式进行分析,以增加社会对于该类...此外根据不同Web系统的需求还会出现三员用户的子用户和普通用户,普通用户中...
  • 使用 JWT(JSON Web 令牌)实现登录身份验证和令牌续订
    2023-12-29 09:14
    JSON Web 令牌(JWT)是一种安全的身份验证机制,它允许应用程序在用户登录后发送一个包含用户信息的令牌,而不是依赖于传统的服务器会话。JWT在客户端(如浏览器的localStorage或cookie)存储,使得用户状态可以在...
  • sso servert端 注销
    2018-08-03 05:03
    SSO(Single Sign-On)是一种身份验证机制,允许用户在一个应用系统中登录后,无需再次认证即可访问其他相互信任的应用系统。在企业级系统中,SSO提供了方便的用户访问控制和安全管理。本文将深入探讨如何实现SSO...
  • 注销登陆 清除缓存session CAS shiro redis
    2019-11-08 07:51
    小白菜的学习日记的博客     出现的问题:系统内嵌系统,当时外系统注销用户后发现内嵌iframe的另一个系统没有退出登录,缓存仍然在,依然可以使用用户身份访问,外系统登陆另一个用户账号时,内嵌系统任然是上一次或第一次登陆的用户...
  • JWT身份验证
    2024-03-05 07:08
    哗哗的世界的博客 通过jwt鉴权方案 JWT鉴权流程 一个简单的基于jwt的身份验证方案如下图 基本流程分三步: 1. 用户登录成功后,后端将生成的jwt返回给前端,然后前端将其保存在本地缓存; 2. 之后前端与后端的交互时,都将jwt放在请求...
  • iOS中关于Cookie验证登录状态
    2020-08-30 07:08
    在iOS开发中,验证用户登录状态通常涉及到网络通信和数据持久化。Cookie是一种常见的机制,用于服务器端存储和客户端管理用户会话。本篇将详细阐述如何在iOS中利用Cookie来验证用户的登录状态。 1. **获取并保存...
  • 如何使用 Supabase Auth 在您的应用程序中设置身份验证
    2024-02-01 03:00
    晓风晓浪的博客 简单来说,身份验证用户向系统标识自己的过程,系统确认该用户就是他们所声称的身份。另一方面,授权是系统确定允许用户查看或交互应用程序的哪些部分以及不允许用户访问应用程序的哪些部分的过程。
  • java 缓存机制
    2015-06-23 02:30
    用户在A域登录后,服务器会返回一个Ticket,这个Ticket可以在其他域中验证用户身份,从而实现跨域免登录。注销时,所有相关的Ticket都需要被清除,以确保安全。 在SEO(搜索引擎优化)方面,纯HTML和CSS的静态...
  • 没有解决我的问题, 去提问
手机看
程序员都在用的中文IT技术交流社区

程序员都在用的中文IT技术交流社区

专业的中文 IT 技术社区,与千万技术人共成长

专业的中文 IT 技术社区,与千万技术人共成长

关注【CSDN】视频号,行业资讯、技术分享精彩不断,直播好礼送不停!

关注【CSDN】视频号,行业资讯、技术分享精彩不断,直播好礼送不停!

 客服 返回
顶部