今までいくつかセッションを使った認証を作成してますが、あえて質問させてください。
セッションの管理を行う上で下記の流れが一般的かどうか、もしくは問題点をご指摘ください。
1.画面でIDとパスワードを入力しログイン
2.IDとパスワードが一致していたらセッションを発行する
ユーザーのPC内にセッションを記録したCookieが作成される
(セッションIDは乱数等から作成された32文字程度の文字列のみ。既に発行済みとは重複しないように処理済)
サーバーでセッションIDを保持(DBにセッションIDと有効時間などが追記される)
3.ログイン後の画面に遷移する
4.別の画面に遷移する際は以下の内容がバックグラウンドで行われる
サーバー側がユーザーPC内に記録されたCookieからセッションID内容を読み取る
サーバー側のDBで保持されているセッションIDと整合性を取りOKならページ遷移、NGならログアウト画面などのNG画面へ遷移
こういった内容です。
これ自体でご指摘やメリット・デメリット、こうした方が良いなどありましたら回答をお待ちしております。
コメント(0件)