[PHP-users 33256] Re: 携帯サイトでの自動ログインについて

[katsu2000x ＠ gmail.com]

齊藤です。

今回の質問はあくまでも「ログインを簡単にしたい」という趣旨ですので、ログイン後に引き回すのとはまた違う話ですね。

その場合はセッションを使うのが良いとは思いますが。

08/02/12 に blue<blue ＠ nabeneko.ws> さんは書きました:
> ハセガワです。
> セッション管理ですので、あくまで引き回すものは「セッションID」のみとします。
> セッションIDから紐付くデータの保存、取得は、PHPセッションを使えばいいかと
> 思います。WEBが複数台で分散処理されていて、nfsなどの同期も難しい
> ということであれば、DBから取るようなセッション処理を書くとかがおすすめです。
>
> セッションIDそのものが漏洩すると（セッションハイジャック）そのままサイト
> 利用ができてしまいますが、一般的には、セッションIDはハッシュ等で
> 推測不可能に。セッションへは有効期間を付ける、定期更新をかける、
> およびログアウトによる能動的なセッション消去機能（自己管理）をつけます。
>
> IDとPASSだけであれば、暗号化、復号化も手ではありますが、
> 扱うデータが増えてくると、URL長制限などもありますので、
> やはりセッション管理が必要となります。
>
> katsu2000x ＠ gmail.com さんは書きました:
> > 齊藤です。
> >
> >> 内々で利用する認証システムなので、ログイン後にURLにgetパラメータでIDとPWが付いているものをブックマークしてもらう流れにしてあります。
> >
> > もしかしてIDとパスを直接パラメータに指定しているなんて事はないですよね？
> > 携帯とはいえURLの確認方法はあるので、セキュリティ的に問題です。
> > IDと紐付けした別のものを表示させた方がよいと思います。
> >
> > 自分で以前作った時には、IDとsaltを加えてmd5したものをキーとして保存し、それを元に認証させていました。
> > また、そのキーをずっと使われるのもまずいため、どこかでexpireさせることも考えた方が良いと思います。
> >
> >
> _______________________________________________
> PHP-users mailing list  PHP-users ＠ php.gr.jp
> http://ml.php.gr.jp/mailman/listinfo/php-users
> PHP初心者のためのページ - 質問する前にはこちらをお読みください
> http://oldwww.php.gr.jp/php/novice.php3
>