禁止帳戶時有什麼好的做法？

Question

假設用戶在網站中被禁止，但他的會話仍處於活動狀態。什麼是阻止他執行被禁止的用戶的行爲的最好方法是而不是被允許執行的行爲？

的兩種可能的解決方案，我想出了是

• 有一次額外的檢查以前的每一個「重大」動作， 喜歡做在論壇上一個帖子，發送私人消息等，使確保 他沒有被禁止（與數據庫檢查）

• 摧毀他的會話

現在，後一種解決方案可以通過設置cookie的到期時間來完成，但這對其他用戶來說會很麻煩，因爲他們必須重新登錄。

其他選項會在這些腳本檢查，如果他與數據庫的禁止，然後摧毀他的會議，如果他是會話設置超時，但是這似乎是一個有點過分。

處理這個問題的最佳方法是什麼？

Answer 1

如果你的應用是面向對象的，你可以做一個檢查在你的構造，如果用戶是被禁止的，如果他是，他沒有設置會話/調用註銷功能。

Answer 2

如果我通過爲設置cookie設置過期來理解您的意思，我會建議您不要這樣做。您希望控件位於服務器端 - 不要相信您的客戶;他們可以很容易地防止他們身邊的cookie被破壞。

希望，無論框架您正在使用有辦法刪除與用戶的會話相關的服務器端的數據，而是無效客戶端的會話ID。