[PHP-users 33255] Re: 携帯サイトでの自動ログインについて

[blue]

ハセガワです。
セッション管理ですので、あくまで引き回すものは「セッションID」のみとします。
セッションIDから紐付くデータの保存、取得は、PHPセッションを使えばいいかと
思います。WEBが複数台で分散処理されていて、nfsなどの同期も難しい
ということであれば、DBから取るようなセッション処理を書くとかがおすすめです。

セッションIDそのものが漏洩すると（セッションハイジャック）そのままサイト
利用ができてしまいますが、一般的には、セッションIDはハッシュ等で
推測不可能に。セッションへは有効期間を付ける、定期更新をかける、
およびログアウトによる能動的なセッション消去機能（自己管理）をつけます。

IDとPASSだけであれば、暗号化、復号化も手ではありますが、
扱うデータが増えてくると、URL長制限などもありますので、
やはりセッション管理が必要となります。

katsu2000x ＠ gmail.com さんは書きました:
> 齊藤です。
> 
>> 内々で利用する認証システムなので、ログイン後にURLにgetパラメータでIDとPWが付いているものをブックマークしてもらう流れにしてあります。
> 
> もしかしてIDとパスを直接パラメータに指定しているなんて事はないですよね？
> 携帯とはいえURLの確認方法はあるので、セキュリティ的に問題です。
> IDと紐付けした別のものを表示させた方がよいと思います。
> 
> 自分で以前作った時には、IDとsaltを加えてmd5したものをキーとして保存し、それを元に認証させていました。
> また、そのキーをずっと使われるのもまずいため、どこかでexpireさせることも考えた方が良いと思います。
> 
>