ユーザーの資格情報を保持するセキュリティ サービスを PHP で構築することを検討しています。その中で最も重要なのは、ログインしているユーザーのトークンです。このサービスは、ある種の API (REST、SOAP など) から別の API によってアクセスされます (外部ユーザーは、別の API の資格情報をチェックする Web サイト API を介して接続します。これは現在検討中のものです)。
トークン (およびその他の情報) を RDBMS に格納する可能性があります。しかし、この解決策は私にはきれいに思えません (トークンは既に期限切れになっていてもデータベースに残ります。期限切れのセッションをクリアするためのメカニズムを実装する必要があるなど)。ネイティブの PHP セッション管理 ( ) を使用することを考えてい$_SESSION
ました。それは可能ですか?誰もそのようなことをした経験がありますか?
以下の問題を考えました。
- PHP ベースの Web サイトが www サーバーに配置されている場合、ユーザーはブラウザー経由で URL にアクセスし、ブラウザーの Cookie を使用してネイティブ セッションが作成されます。セキュリティ API に接続する Web ページ API が 1 つある場合、セッション オブジェクトは常に 1 つだけでしょうか? 設定可能ですか?
- セッションはどの程度正確に作成され、どのようにメカニズムに影響を与えることができますか (たとえば、Cookie に基づいていないなど)?