社会ネットワークのようなWebアプリケーションでは、ユーザーがログインして2時間以上の長時間作業を行います.現在、ユーザーID(メンバーテーブルのID番号)などのデータをセッションに保存し、このIDでユーザーの詳細データを見つけました。
各ユーザーがサイトにログインすると、そのユーザーのこのデータをセッションに2時間保存します。この作業のセッション タイムアウトを 120 分に設定しましたが、この作業が適切かどうかを知りたいです。セッションを2時間保存することを意味します。
もう 1 つは、その ID をクライアントの暗号化された Cookie に保存できることです。この方法は安全であり、ユーザー/ハッカーが Cookie を復号化してユーザー ID (この ID は私の ID テーブル ID) を取得できるかどうかを知りたいのですが、私のサイトを攻撃することができます。何かをするかしないか?
Cookie を使用して ID を保存する際の問題は、おそらく Cookie を復号化することではなく、Cookie 全体を強化することです。これは、共通のセッション Cookie と永続 Cookie です。
ブラウザでサイトがまだアクティブなときにユーザーが新しいログインで煩わされないようにしたい場合は、短いセッション タイムアウトと JavaScript のキープ アライブを組み合わせることを検討してください (たとえば、10 分ごとにページを更新します)。そうしないと、サーバー上に不要になった多くのセッションがあります。
ブラウザのウィンドウを閉じてもログイン状態を維持したい場合。適切なサーバー暗号化を使用して、ブラウザの識別情報を Cookie に含めることを検討してください (例: ブラウザのフィンガープリントは、匿名ユーザーを識別するための実行可能な技術ですか? )。
https を強制することを忘れないでください。