問題タブ [session-cookies]

CakePHPでの認証に問題があります。何をしようとしても、Cakeは、リクエストのたびに認証が解除されているか、以前にブラウザを閉じていても認証されているかを通知します。

私の認証システムがどのように機能するかを簡単に説明します。remember meユーザーは、チェックボックスがオンになっているかどうかに関係なくログインします。チェックされている場合、ユーザーが次にサイトにアクセスしたときに自動ログインされるように、Cookieを作成します。基本的に、ユーザーがブラウザを閉じるときに、Cakeがブラウザに保存しているすべてのセッションCookieを削除する必要があります。このように、ユーザーが戻ってきたときに、記憶したくない場合はログインページが表示され、remember me保存することを選択した場合はCookieから自動的にログインします。

問題は、core.phpのSession.timeoutとSecurity.levelの両方で遊んだのですが、良い結果が得られなかったということです。タイムアウトを0にすると、Cakeはリクエストごとに認証を解除し、ページを表示できなくなります。タイムアウトに他の値を設定すると、ユーザーがブラウザーを閉じて再度開いたときに、Cakeセッションが期限切れにならなかったため、引き続きログインできた可能性があります。

結論として、ブラウザを閉じるたびにセッションCookieを自動的に削除するにはどうすればよいですか？

モバイルデバイスからアクセスするWebアプリケーションがあります。一部のリクエストが1つのデバイスから行われ、他のリクエストが別のデバイスから行われていることを検出する必要があります。一意のデバイスIDなどを必ずしも知る必要はありません。デバイスを区別するだけで済みます。IPアドレスを使用することを考えましたが、一部の通信事業者は、一部の地域のすべてのデバイスで同様のIPを使用している可能性があります。これを行う一般的な方法はありますか？ありがとう！

Android セッション管理用の特定のライブラリはありますか? 通常の Android アプリでセッションを管理する必要があります。ありませんWebView。post メソッドからセッションを設定できます。しかし、別のリクエストを送信すると、そのセッションが失われます。誰かがこの問題で私を助けることができますか?

セッションが失われた同じホストにアクセスしようとすると、次のようになります。

ログインページのレスポンスボディを取得します。

ページを更新するとCookieが消えるという問題に取り組んでいます。私はこのページにまったく慣れておらず、クライアント/サーバー側のどちらのコードも知らないので、フィドラーでhttpをトレースすることにしました。

これは、有効期限が割り当てられていないセッションCookieであり、ドメインパスも割り当てられていません。更新中にすべてのhttpリクエストを確認したところ、応答ヘッダーに「Set-Cookie」に関連するものは何も見つかりませんでしたが、Cookieが消えてしまいました。

この問題はIE、FF、Chromeで発生しました。ブラウザ関連の問題ではないと思います。

サーバーサイドコードを所有していないため、Cookie名でコードを検索できません。何が問題になる可能性があるのか​​、何か考えはありますか？

これは宿題の質問にあります。助けてください

重複の可能性:
Cookie で許可されている文字

Cookie で値を区切る必要があります。そこで、URL の場合と同じように & を選択して、name=value のペアを区切りました。名前にも複数の値が存在する可能性があるため、それらをコロンで区切ります。

私の質問は、これが合法かどうかです。すべてを URL エンコードする必要がありますか? 値にはコロンを含めることができるため、値のコロンが区切り文字と競合しないようにするために、値を URL エンコードすると考えました。クッキー全体をアポストロフィで囲むこともできるとどこかで読みましたが、それは理にかなっていますか?

これが合法でない場合、名前ごとに複数の値を持つことが多い複数の名前/値のペアを保存する最良の方法は何ですか (特定の順序で、名前/値を複製することはできません)?

サーバー側認証のない API を構築しています。セッション用に一意のキー (キーが非常に長く、推測できないと想定) が生成されますが、クライアントには Cookie が設定されません。クライアントは、AJAX を使用する Web ブラウザー、CURL を使用する PHP スクリプト、またはデスクトップ アプリケーションです。私が想像している通常の取引プロセスは次のようになります。

最初の出会い

1. クライアントは start_session メソッドを呼び出して最初のリクエストを行います
2. サーバーはキーを生成し、それをいくつかの初期データとともに返します
3. クライアントは、後で使用するためにキーを保存します (たとえば、JavaScript はキーを使用して Cookie を設定します)。

次のリクエスト

1. クライアントはサーバーに再度リクエストし、set_data メソッドを呼び出して元のセッション キーを提供し、クレジット カード番号や訴訟に関する情報などのプライベート データをロードします。
2. サーバーが応答し、 が成功メッセージで応答します

別のリクエスト

1. クライアントはサーバーに再度要求し、元のセッション キーを提供して get_data メソッドを呼び出します。
2. サーバーは、すべてのプライベート データを何らかの形式 (XML、JSON など) で応答します。

セッション キーは、使用しないと 20 分で期限切れになり、すべての API URI で SSL が必要になります。

私の懸念/質問は: クライアントがセッションキーを漏らしたかどうかについて心配する必要がありますか? 認証がなければ、元のリクエスタがセッション キーを非公開にしていると信じています。これは一般的/安全な慣行ですか?

php.netのドキュメントから：

session_destroy —セッションに登録されているすべてのデータを破棄します

session_unset —すべてのセッション変数を解放します

私の3部構成の質問は次のとおりです。

2つの機能は非常に似ているようです。
2つの違いは何ですか？

どちらも、セッションに登録されているすべての変数を削除しているようです。それらのいずれかが実際にセッション自体を破壊しますか？そうでない場合、これをどのように達成しますか（セッション自体を破棄します）。

2つの関数のどちらもクライアントでセッションCookieを削除しないというのは正しいですか？

中程度の信頼レベルでセッションCookie名を取得することは可能ですか？以下のコードは完全な信頼で機能しますが、中程度の信頼レベルでセキュリティ例外をスローします。

jsession cookie の websphere に次のプロパティを設定しました com.ibm.ws.webcontainer.HTTPOnlyCookies。

Firefox または IE で JavaScript を使用してこれをテストする最善の方法はありますか?