用户正常注销退出后,用户的认证信息不会立刻失效。用户认为自己已经退出账号,但在服务端中保留用户登录状态,依然可以用认证信息进行请求。因此在要求单次登录有效的应用系统中,用户正常退出或注销应将服务端认证信息进行注销。
四、结语在上述安全问题测试方法的前提是获取到其他用户认证信息,而实际应用场景中需要获取其他管理员认证信息虽然很困难,但在现今层出不穷的网络攻击手段下,我们不得不关注这些安全问题的本身。造成“三员”中越权问题的主要原因在于对于身份认证不严格,角色和功能绑定存在遗漏,因此在企业重要的应用系统中建议在服务端进行用户和角色的一对一验证,角色和功能的一对一验证,或者用户和功能的一对一验证。