セッションをコントロールすれば認証が広がる。
- セッションをDBに持つ
- PHPなら最初からその機能がある
- DBに持った上で以下の項目を保持する
- ユーザID
- セッションを作成するさいに、同一ユーザIDが以内かどうかをチェック
- 同じユーザIDで二重ログイン出来ないようにつくることでセキュリティを高める
- モバイルとPCで両方ログインしっぱなしにしたいとかって人には不便
- IPアドレス
- セッションレコードにIPを入れることで、物理的に別のIPからアクセスしたときにはセッション切れにしちゃう
- 主に企業向け
- モバイルネットワークからのアクセスには不向き(IP変わるはず)
- ワンタイムパスワードの仕組みをいれて以下の項目を保持
- ワンタイムパスワード
- 既にパスワードが疲れたかどうか
- ワンタイムパスワードの寿命
0 件のコメント:
コメントを投稿