-
-
Notifications
You must be signed in to change notification settings - Fork 9.8k
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
保持登录失效 #6290
Comments
可以提供复现步骤吗,目前无法复现这个问题,是否因为安装了什么浏览器插件导致修改了 remember-me 这个 cookie 的值,还有提供一下你现在使用的 Halo 版本 |
今天又出现了,无法复现,就是突然之间就失效了。使用的Halo v2.17.1版本 |
有什么错误日志吗,或者进行了什么操作,目前这个问题我这无法复现确实比较难排查 |
halo.log |
刚刚又失效了,我也没操作什么,没去清理浏览器缓存,就跟平时一样的使用,就是莫名其妙就登录失效了。 |
是在后台界面上用着用着就没了吗,还是关闭了浏览器重新打开之后要求重新登录,保持登录只会在关闭浏览器重新打开并访问halo 时自动登陆 |
浏览器没有关闭过,一直挂在浏览器标签上的。 |
那确实很奇怪,这个问题等待后续其他用户的反馈再排查一下,目前确实无法复现,所以暂时无法解决🫠 |
目前猜测是并发请求(无 Session 或者 Session 已过期)引起 RememberMeToken 被更新所导致的问题。 See spring-projects/spring-security#2648 and spring-projects/spring-security#3079 for more. |
我这里有一个方案: 触发自动登录时,不更新 Remember Me Token。这样就可以解决并发请求导致 Token 发生变化的问题,但同时也会损失一个防盗能力。 我也考虑在自动登录过程中加锁,但也无法彻底解决该问题。因为客户端有可能无法接收到响应(例如请求后立即关闭浏览器),也会导致下次请求时携带旧的 Token。 如果能够接受 Token 被盗后仍可登录的情况,我将提交 PR 解决这一问题。 |
今天保持登录功能失效后,终于逮到日志了,太不容易了,希望对你们排查问题有所帮助
|
系统信息
使用的哪种方式运行?
Docker
发生了什么?
保持登录没保持多久就自己掉了
相关日志输出
附加信息
None
The text was updated successfully, but these errors were encountered: