ユーザーが既にログインしているときに、「パスワードの確認」ページを実装するにはどうすればいいですか？

Question

私が開発している私のウェブサイトでは、私のログインはすべてソートされています。セッションの保存も含め、正しく動作します。

ユーザーのセキュリティとプライバシーを向上させるために、ユーザーが機密ページ（アクティビティログや設定の変更など）を表示するように要求すると、「パスワードを確認してください」というページを実装したいセッションハイジャックに対してしかし、私は、これをどうやってやっていくかについてはわかりません。

私はセキュリティのベストプラクティスを確信していますが、このプロジェクトサイトは私の学習曲線ですから、教えていただければ幸いです。

私は達成することを目指していると思うの構造は、このようなことがあります。ユーザーは履歴ログ彼らから移動後になるように正確に私はそれをする必要があり、私はこのことについて理解して何からcurrent page --(user goes onto history log)-> Please confirm your password --(user gets the correct password)-> history log page 1 --(user wants the next page of the history log)-> history log page 2 --(user goes to the home page)-> home page --(user goes onto history log)-> Please confirm your password --(user gets the correct password)-> history log page 1

それを見る権限がもはやありません。

誰かがこれを行う方法についていくつかのヒントを提供できたら、私は大変感謝します。私はいくつかのチュートリアルを検索しようとしましたが、誰かがチュートリアルへのリンクを提供することができたとしても、それは完全に間違った検索条件を選んでいました。

ありがとう、ヨルダン。

Answer 1

このユーザーには、ヒストリログ以外のページをナビゲートするときにリセットされる$ _SESSION変数を追加するだけです。

$page_section = 'something'; 

を設定し、すべてのページで

そして、ない小さなスニペットが含ま：

はさらにもっと、私はこのような一般的なメカニズムを使用したい

if(isset($_SESSION['last_visited_section']) && $_SESSION['last_visited_section'] != $page_section){ 
    //New section visited, you could reset $_SESSION['last_visited_section'] or anything relative to your security mechanism here 
} 

を

これは助けになりますか？

Answer 2

セッションハイジャックが心配な場合は、httpsを使用してセッションCookie httpsのみを設定してください。 パスワードを確認するには、ログインの場合と同じ方法でパスワードを入力し、ログインと同じ方法でハッシュがユーザーテーブルの内容と一致することを確認します。

$ scookieというオブジェクトを作成します。このオブジェクトを使用して、セッションをどのようにしたいかを定義します。私はハイジャック（ユーザーログインを持つもの）に関係しています上記で

session_set_cookie_params( 
$scookie->lifetime, 
$scookie->path, 
$scookie->rootDomain, 
$scookie->secure, 
$scookie->httponly); 

session_start(); 

は、私は、安全がtrueに設定されている> $ scookie-を確認してください。