人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

認証に関するセキュリティーについて。
ログイン状態を維持するのにあなたが思う、若しくは一般的に安全、軽負荷な方法を教えてください。

はてなで言えばログイン時の「ログイン状態を保持する」に関する事です。

環境はphp5+PostgreSQL8で、クッキー及びセッションは使用可。
セッションデータはDBに保存という条件でお願いします。

例えば、ID,Passをクッキーに保存しアクセス時に1度認証をかけ各ページをセッションで認証。等…

様々なサイトがどのような方法でログイン状態を維持しているかの説明等も受け付けます。

●質問者: tenshiks
●カテゴリ:コンピュータ ウェブ制作
✍キーワード:dB あなた いるか はてな アクセス
○ 状態 :終了
└ 回答数 : 4/4件

▽最新の回答へ

[1]認証APIとか。 ma-kanoh

http://auth.hatena.ne.jp/

そもそもログインセッションを維持しようと考える必要がない。。。誰かに代行してもらうから。

それと、「セッションデータはDB」にの、「セッションデータ」という概念が理解できません。

(1)APサーバを分散するから、DBに入れて参照しようと思っている。

(2)単に「セッションデータ」とやらがあると思っている

の区別すら出来ません。というのも(1)(2)とも「セッションデータ」をDBに入れるだけでは実現できません。

>ID,Passをクッキーに保存しアクセス時に1度認証をかけ各ページをセッションで認証。等…

の意味の「クッキー」と「セッション」と何が違うのか良く分かりません。なぜなら、同じものだからです。

ちなみに、完全に安全なのは、住基カードでログオンすることです。。。でもセッションなのは一緒か。ブラウザ上なら。

>様々なサイトがどのような方法でログイン状態を維持

単にセッションという概念(実装はクッキー)でしょう。

一般的にはフォーム認証+SSLが簡単です。つまり

<FORM action="login.cgi">

<input type=text name=pass/>

</FORM>

のHTMLを送って(SSLで)、passの認証(確認)をして、結果だけ

「セッション」(実装はクッキー)に入れておくのが普通です。

その場合の「セッション」のクッキーは

JSESSIONID=askldsjflsdfjsl

のような適当なクッキーを設定します。で、「askldsjflsdfjsl」

とは何かは、APサーバ側で管理します。

このクッキー自体はSSLで暗号化し、成りすまし自身はセッションID

、この場合は「askldsjflsdfjsl」という文字列を送ってくるかどうかで見ます。

ちなみに、普通のWebアプリケーションサーバの「セッション」では

IDとパスワードをまんまクッキーに書いたりはしません。

(Tomcatですら)


[2]>1 認証APIはてなが公開してますね。 tenshiks

少々説明が悪かったでしょうか?

ここでいうセッションデータというのは通常/tmpに保存されるセッションファイル中の値を指します。

クッキーとセッションについてはクライアント側に保存されているデータをクッキー、セッションはセッションIDを使ったクライアント一連の作業についての意味合いです。

セッションIDにてログイン状態を維持する場合、セッションIDを長い期間保存(session.gc_maxlifetime)して置く事になると思うのですが、特に問題ない事なのでしょうか?


[3]>2 問題はあるとは思いますが。 ma-kanoh

>セッションIDを長い期間保存(session.gc_maxlifetime)して置く事

をやると、「その」パソコンがのっとられた場合、まんま

アクセスを許すことになります。長い間。

そもそも、「その」パソコンを信頼してないから、ログイン

させるはずが、セッションID保管期間が無限大ということは

なぜか「その」パソコンを無限大に信頼している矛盾があります。

ということで、普通は(?)セッションIDは長くても1ヶ月

ぐらいにするかと。もちろん、どのようなシステムで

あるかにもよりますが。


[4]>3 やはり tenshiks

そうなんですよね、利便性とセキュリティは反比例するのは仕方ないのでしょうね。

やはりケースバイケースという事でしょうかねぇ。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ