請問一下各位,
關於session 和 token驗證機制同時存在的問題,
目前網站會使用session來驗證使用者是否登入,
而在呼叫API的時候, ajax必須帶token(由server產出)進行驗證.
所以會碰到一個問題, 就是token沒有過期, 但session過期 ;
或是session過期但token沒有過期, 兩個expire time不一致的情況,
我目前作法是任何一個失效都導到登入頁面.
因為不想沒次呼叫api的時候延長session時間或每次訪問頁面的時候延長token時間,
這樣感覺成本太大, 不知有沒有比較好的作法呢, 大家都如何處理？
謝謝

既然都認身份證了，何必再看健保卡呢？

哪個是身份證？哪個是健保卡？

哪個是哪個是有什麼差別。

如果是為了防CSRF還是得看雙證件囉

每一分鐘亮出你的健保卡

唉唷還有CSRF好煩每次延長sess/token時間不就expiry改一下 有什麼成本嗎

1. 每次 -> 改成random延長2. 選特定時間比對