0
그래서 JSESSIONID 쿠키로 인해 문제가 발생한다고 생각합니다.하지만 여기에 대해서는 확실하지 않습니다.자격 증명이 잘못되어도 사용자가 jsessionid 쿠키를 사용하여 회원 콘텐츠에 액세스 할 수 있도록 허용하는 이유는 무엇입니까?
기본적으로 사용자는 로그인 할 때 특별한 토큰을 입력해야합니다.하지만 사용자는 토큰을 입력하지 않아도 개인/회원 페이지에 액세스 할 수 있습니다.
사용자가 자격 증명을 빼고 토큰을 입력하면 오류가 나타나기 때문에 사용자가 무시합니다. 물론 오류가 있기 때문에 사용자는 회원 페이지로 이동하지 않습니다. 그러나 사용자는 특정 회원 페이지를 수동으로 입력하고 액세스 할 수 있습니다. 수동으로 mysite.com/member/home를 입력> 오류가 오류가 팝업 무시
- 사용자는
- 사용자가 어떤 토큰이 사용자 이름/암호를 입력 mysite.com/home 간다 그리고 그것에 접근해라.
나는 쿠키가 제거되면 jsessionid라고 믿는다. 멤버 페이지에 대한 액세스도 사라진다.
아이디어가 있으십니까?