#1 tmd

我自己写了一个会员登录页面（只用了session，没用cookie），登录以后会显示会员信息。这时候我将apache重启，再刷新页面，还是显示以前的会员信息页面。这岂不是很不安全？
按说重启了apache以后所有信息都应该清空了，session变量也应该没有了。

再同一个浏览器中新开子窗口，粘贴会员信息页面网址，内容仍在。
我另开一个浏览器，粘贴会员信息页面网址，内容就是空的。如何理解？

2011-01-25 23:38:42

#2 jake

为什么apache重启就会不安全呢？不安全就指不经授权（没登录）的用户执行了授权的操作，而session只是一个浏览器会话一次，所以不存在“不安全”的情况。另外，看页面是否浏览器缓存了。

2011-01-26 08:42:25

#3 tmd

回复 2 jake


    如果浏览器缓存了，那么换一个浏览器应该也能看见相同页面内容吧？事实上不是，所以应该没有缓存。
你的意思是说，即使重启apache，服务端的session数据还在，apache认为上一次遗留的session数据仍然有效，对吗？

2011-01-26 22:14:25

#4 jake

浏览器缓存是同一个浏览器才可以看到相同内容，而且大部分只有一次，这和页面的刷新时间有关，所以极有可能是缓存了。
另外，apache不管重启不重启，session还是对当前会话用户的，会话不消失，那么还是会认为是当前用户，不过也没什么安全性问题，因为一个会话有自己的生存期和限制，不会被别的用户未经授权就可以访问到。另外，apache重启的机会是微乎其微，这方面真没人研究。
建议是仔细看看关于浏览器缓存和SESSION会话机制的说明：
http://topic.csdn.net/t/20050105/15/3701337.html
http://baike.baidu.com/view/1246381.htm

2011-01-26 22:21:11

#5 tmd

回复 4 jake


    学习了！没完全看懂那2个链接，不过没关系啦，听老大一说，我也觉得安全性似乎没有太大问题。谢谢！

2011-01-27 10:48:32