ユーザーを安全にログインさせ、Cookie とセッションを使用してユーザーのログインを維持する最善の方法は何ですか?
例えば:
特定のユーザーに対してパスワードと電子メールが有効かどうかを確認する
任意の文字列で Cookie を設定する
同じ任意の文字列でセッションを作成する
Cookie とセッションの任意の文字列が同じであることを確認して、ユーザーによる各要求を検証します。
質問する
683 次
3 に答える
1
ユーザーを安全にログインさせ、Cookie とセッションを使用してユーザーのログインを維持する最善の方法は何ですか?
確立されたライブラリを使用します。
于 2013-06-15T04:33:38.663 に答える
0
「セッションの作成」をどのように定義するかによって異なります。ここでの目的のために、これを「ID を使用してサーバー側のデータ ストアを作成し、その ID を使用して Cookie を設定する」と定義しましょう。つまり、デフォルトのsession_start()機能です。それで:
- 接続が HTTPS であることを確認します。
- ログイン資格情報を確認します。
- 有効な場合は、大きな (疑似) ランダム ID と有効期限をできるだけ短く、ただし必要なだけ長くして、セッション (上記を参照) を作成します。ここでのセキュリティは、適切にランダムなセッション ID を推測することは不可能であるという事実に基づいています。そのため、セッション ID が長く、有効期間が短いほど優れています。
- ログインしているユーザーの ID をセッションに保存します。
- 各ページ リクエストで、Cookie の ID を持つセッションが存在するかどうかを確認します。その場合は、そこに保存されているユーザー ID を使用して、ログインしているユーザーを取得します。
- オプションでユーザー エージェントを保存してチェックすることは悪い考えではありません。ただし、IP アドレスは正当に変更される可能性があるため、チェックしないでください。
于 2013-06-15T07:20:47.993 に答える