你应在哪些场景下废止当前的session?
废止当前的session,一是为了让用户无权再进行任何需授权的操作,比如
1. sign out
废止session的另一个目的是:若某个操作暗示“用户尚未登入”作为前提,则在这个操作进行前就应该废止session,确保用户进入“未登入”状态; 否则,若用户还处于登入状态时却仍然去做这些操作,就可能会出问题,比如
2. login -- 若用户A仍存于session中,这时在同一个浏览器中以B身份登录,则登录后,A残留在session的数据可能就会被送给B。类似的情形有:
3. 注册
4. 忘记密码,欲重置
