携帯投稿テスト
2006年6月22日 (木曜日) - 10:10:11 by webmaster
ユーザー認証チェック案メモ。
IDとPASSで認証した時に、セッションIDをテーブルに退避させておく。
ログアウト時もしくはCRONで設定時刻過ぎたらユーザー認証テーブルのセッションIDもクリアする。
セッションIDをキーに認証チェックさせて、タイムスタンプ更新する。このとき、セッションIDも再発行させる。
これで、一度認証チェックしたセッションIDでは認証チェックが通らない。
セッションハイジャック対策はこれでよいか?