javascript - 修改密码后，如何令其他电脑登录的cookie失效？

Question

如果用户A修改了密码，B/C/D用的是同一个账号并有cookie。那么该如何去清理掉这些cookie？
因为项目需求允许多人同时使用一个账号，因此单点登录不可行。
然后修改密码之后登录的不用清除，修改密码之前登录的cookie要清除。
但是每打开一个页面都要连接数据库校验一次岂不是很耗资源？
求各位大大给出建议，小弟跪谢~

Answer 1

javascript - パスワードを変更した後、他のコンピュータからログインした Cookie を無効にするにはどうすればよいですか? -PHP中国語サイトQ&A-javascript - パスワードを変更した後、他のコンピュータからログインしたCookieを無効にするにはどうすればよいですか? -PHP中国語サイトQ&A

ぜひ見て学んでください。

Answer 2

在登陆后，用memcached写入一个与id对应的md5后的随机数。(session/cookie 保存)

每次刷新都从mem获取这个md5随机数。

修改密码后同步修改mem中的md5随机数，直到下次登录为止。

这都是建立在你有memcached的基础上，当然了KV也行，反正选择写入/读取速度快的就好了

Answer 3

cookie 的 secret 为每用户特定的可以不？用户换密码之后就把其对应的 secret 换一下，于是那些 cookie 就失效了。

Answer 4

cookie加密存储，cookie内包含用户id和令牌（token），token生成规则中加入密码（md5后的），每次访问页面，从数据库（或kv）中读取token进行比对。不需要考虑删除cookie的问题。

Answer 5

cookie和用户表里记录上一次修改密码的时间，然后比对

Answer 6

背景信息太少了。

像我的系统，登录信息保存在session中，session又保存在数据库中。愿意的话，我可以在别人修改密码后，把这个账号有关的session全都清空。就是这么做很丑陋

还有个丑陋点的方法，前端定期发回一个校验信息，然后跟数据库对比，嫌数据库慢？用缓存，反正这种信息不是经常变化的。

抛砖引玉，楼主权且当个参考好了。

Answer 7

我想直接查一次数据库是可以接受的。按uid查询，肯定是有索引的，不会消耗多少资源。

Answer 8

像@Bluven说的，用户信息最后放在session中，可以设置一个特殊cookieid作为session的key,各个端一个session，当修改密码后就将其它用户踢下去。检查session的有效性可以放在中间件里判断