[PHP-users 14321] Re: セッションと戻るボタンとセキュリティと

[php-users ＠ php.gr.jp]

こんにちわ、甲斐といいます興味深く読ませてもらっています
私も同じ内容のプログラムをつい2日ほど前に一応完成させました。

今はネット上に平文のID(ユーザー名)、パスワードが流れないように
SSLを使うか他にもっと良い方法がないのかと試行錯誤しているところです。
>この方法ではセッション情報が破棄されることは無いので永続性がありますが、
>上のセッションIDをつけたときと同様に
>> セッションIDがくっついた
>> URLは誰がクリックしても認証ＯＫ状態でした
とありますが、ここで一工夫して
直接そのターゲットのURLにアクセスさせないようにすれば可能です、

具体的には

登録してあるID(ユーザー名)、パスワードを先にDBと検証する。
(当然不正なID(ユーザー名)、パスワードであれば弾く)

そこから、認証したID(ユーザー名)、パスワードをセッションに覚えさせ
ターゲットのURLへリンクさせ引き渡す。

ターゲットURLでID(ユーザー名)、パスワードをセッションで引き継ぎ
DBで検証する。

正しければURLのアクセスを許可するとなります。
 
この手順を踏めば直接ターゲットをURLを叩いても、直接アクセスすることは
無効にできると思います。

ポイントは認証画面を別に用意してそこからID(ユーザー名)、パスワードをセッション
に保存してなければ、認証を行ないという仕組にしておけばいけると思います。
他にも方法はあるとは思いますが、一応私はこういう方法で実験して意図する動作を
させることが出来ましたが。