設定パターン

　Cookieによってサイト自動ログインのセキュリティの解決ソリューション

　ご存じのように、一回サイトにログインしたら、しばらくの間にアクセスしたら、ユーザー名とパスワードを入力しなくても、自動ログインできる機能を持っているサイトがおおいです。この機能を実現するためのポイントは、サーバーはクライアントユーザーの有効性を検証することです。Cookieを用いる身分の認証は最も簡単にできます。

　ただし、Cookieにログインするための、ユーザー名、パスワードを保存する方法だと、ユーザーの個人情報を盗まれる可能性がありますし、他人によって改ざんする可能性も高いです。もちろんサーバー側の認証機能と組み合わせば、より安全な仕組みを実現できますが、個人が考えた方法は：

１、ユーザーが毎回ログイン時（自動ログインも含める）
　　・サーバー側がユーザーを識別するためのトークンを生成します（たとえばGUIDを利用する）サーバー側とクライアント側のCookie両方に格納します。
　　・現在ユーザーのIPアドレスを記録します。

２、ユーザーがサイトにアクセスして来た場合、最初にCookieに保存しているログインのユーザー名を検証して、次はCookieに格納しているトークンを検証します。

３、もしサーバー側のトークンはクライアント側と一致するなら、トークンを新しい発行して、正常にメンバーの画面へ遷移します。

４、ユーザーの個人情報など敏感な情報の閲覧・修正しようとする時、前回ログインするときのIPアドレスと一致するかどうかを確認します。一致するなら正常に画面を遷移します。

　Cookieが盗まれた場合、ここ方法でも完全に身分の偽装を防止することができませんが、最大限ユーザーを守ることができます。

お名前:

(画像の文字列を入力して下さい)