設定パターン
Cookieによってサイト自動ログインのセキュリティの解決ソリューション
ご存じのように、一回サイトにログインしたら、しばらくの間にアクセスしたら、ユーザー名とパスワードを入力しなくても、自動ログインできる機能を持っているサイトがおおいです。この機能を実現するためのポイントは、サーバーはクライアントユーザーの有効性を検証することです。Cookieを用いる身分の認証は最も簡単にできます。
ただし、Cookieにログインするための、ユーザー名、パスワードを保存する方法だと、ユーザーの個人情報を盗まれる可能性がありますし、他人によって改ざんする可能性も高いです。もちろんサーバー側の認証機能と組み合わせば、より安全な仕組みを実現できますが、個人が考えた方法は:
1、ユーザーが毎回ログイン時(自動ログインも含める)
・サーバー側がユーザーを識別するためのトークンを生成します(たとえばGUIDを利用する)サーバー側とクライアント側のCookie両方に格納します。
・現在ユーザーのIPアドレスを記録します。
2、ユーザーがサイトにアクセスして来た場合、最初にCookieに保存しているログインのユーザー名を検証して、次はCookieに格納しているトークンを検証します。
3、もしサーバー側のトークンはクライアント側と一致するなら、トークンを新しい発行して、正常にメンバーの画面へ遷移します。
4、ユーザーの個人情報など敏感な情報の閲覧・修正しようとする時、前回ログインするときのIPアドレスと一致するかどうかを確認します。一致するなら正常に画面を遷移します。
Cookieが盗まれた場合、ここ方法でも完全に身分の偽装を防止することができませんが、最大限ユーザーを守ることができます。
ウィジェット型CM動画配信サービス manna [マナ]
|