session - Cookie なしで状態を維持する

Question

IPB フォーラムの仕組みを理解しようとしています。

覚えている場合は、ブラウザを閉じて再度開いてもログインしたままになります。

サーバーによって設定された唯一の Cookie は、セッションの終了時、つまりブラウザーを閉じたときに期限切れになるため、これがどのように可能になるかを試しています。では、Cookie を使用せずにサーバーがセッションを再開するにはどうすればよいのでしょうか。

編集: セッション ID Cookie はセッションの終了時に期限切れになるように設定されており、セッションの終了時に Cookie を削除するようにブラウザを設定しています。

これは、ブラウザーを閉じる (セッションが終了する) ときに、Cookie を削除する必要があることを意味します。

ブラウザを閉じている間に別のブラウザで同じサイトを開いた場合、セッションは再開されますか? ただし、これは起こりません。

代わりに、元のブラウザーを開くと、セッションが再開されます。

他の Cookie セットは pass_hash と呼ばれる Cookie のみで、作成されるとすぐに有効期限が切れ、ページが読み込まれるたびにサーバーから送信されます。そのため、認証には使用されません。

Answer 1

Cookie の卑劣な代替手段は、画像またはその他のオブジェクトの最終更新日時のタイムスタンプです。サーバーは、タイムスタンプをセッションを識別する値に設定する画像を提供できます。別のページをロードすると、ブラウザは if-modified-sinceタイムスタンプを送信し、あなたを解放します。

Answer 2

ブラウザのlocalStorageオブジェクトを使用します。例：

localStorage.setItem("lastname", "Smith");
var name = localStorage.getItem("lastname");

Answer 3

通常、Cookie はブラウザを閉じた後も保持されます。PHP を使用している場合は 、 set_cookie のオプションを確認してください。セッションを使用している場合は、セッション領域を確認してください。

// Set Cookie
setcookie($name, $value, $expire) 
// $expire is the time in seconds since Unix Epoch (see [time()][3]) it will stay alive
// Session
session_set_cookie_params($lifetime) 
// $lifetime is the seconds it will stay alive in seconds

Answer 4

ブラウザー ウィンドウを閉じたときに、セッション情報が破棄されるとは限りません。たとえば、PHP では、セッション情報をデータベースに保存することを選択でき、ブラウザーを閉じて元のセッションが終了した後もその情報を保持できます。

私が考えることができる別の方法は、Users テーブルに、ユーザーがまだログインしていることを示すフラグを設定することです。おそらく、テーブルには、logged_in というフィールドがあり、それを true に設定できます。一定の時間が経過すると (つまり、戻ってこない場合)、false にリセットされます。

Answer 5

Cookie 以外のセッション情報を非表示にする場所がいくつかあります。

URL のセッション キー ( http://example.com/app/234348738790/main )

GET 変数としてのセッション キー ( ?sess=257892345 )

POST 変数としてのセッション キー (input type='hidden')

ブラウザのローカルストレージに保存します

上記のいずれかで JavaScript を使用して、セッション情報をサーバーに送り返します。

Answer 6

Cookie を見逃した (または有効期限が切れたときに読み間違えた/誤解した) ように思えますが、別の可能性として、リモート アドレスを DB に保存しておき、2 回目のアクセスのために新しいセッションを自動的に作成している可能性があります。ただし、これはセキュリティ面でもNATなどの理由でも、かなり貧弱なソリューションになるため、IPBがそうしているとは思えません。