- A+
用户库(users table)内依然有用户数据存在。真让人奇怪。所以情况是我们丢失了所有内容,但是至少测试用户的信息依然存在。我们给出的解释是这是一个测试行为,所以这些事情有可能发生。
接下来的几分钟一片混乱。我不记得自己做了什么。我不认为自己笨到在控制台上执行了删除用户库的操作。但是事实就是这么发生了,现在后台既没有了内容库,也没有了用户库。这真实下了我一大跳。
不过,我还是没有接受这件事。我们一开始是如何失去这些东西的?
我开始不停地往深处想。半是为了否认这件事,半是想要挽回面子。不久,我注意到了一些重要事情。
在服务器上还存在着其他5个数据库。其中一个数据库的名字和我刚才看到的数据库名字很像。
当我查看这个数据库的时候,发现所有的内容都在里面。用户库也安然无恙。结果证明,是一个配置变动无意中改变了生产设置,使站点指向了一个全新的数据库。我之前所看的用户信息是什么?种子数据。
-
用户在登陆之后会从cookie中加载内容,但是这个页面却试图在没有任何等待的情况下进行加载。根据事件的发生顺序,用户会得到带来服务器的反映,说其是未经授权的。
-
身份验证也未检查令牌是否过期。如果用户不经常访问这个网站。那么当其再一次访问时,网站需要用户登出再登入才会运行。
-
令牌应该基于每个请求进行更新,但是我从未花费时间去理解其发生前后的规则。所以,这又产生了一个时间问题。如果我们同时发送了几个请求,根据它们返回的顺序,用户会得到那个在后来的请求中无法使用的令牌。
我们匆匆忙忙地赶着项目,却仍花费了比规定多一倍的时间。区别之处在于有更多的漏洞,并需要花更多时间去跟踪并修复这些漏洞。
这使我感到窘迫。之后因为整件事情变得比较糟糕哦而让我在公众场合感到羞愧。
我想说的是:在此之后,我花费了时间去学习认证程序。我现在了解了OAuth、JWT、刷新令牌和到期行为。我仔细研究了其他人所编写的身份验证代码。我能够在不同的语言和框架中建构身份验证程序。
