0
ユーザがログインすると、ランダムなセッションIDが生成され、データベーステーブルの行とセッション変数に格納されます。サイトの認証済み部分にアクセスする前に、セッション変数に格納されているセッションIDがユーザーのテーブル行のセッションIDと同じであるかどうかを確認するチェックがあります。
私の質問は、セッション変数に真偽値フラグを設定するだけで安全ですか?は、セッション管理/認証に対するこのアプローチは良いですか?
ありがとうございました
セッションディクショナリに保存するセッション変数は、クライアントからのHTTPクッキーによってセッションIDを受け取ったときに設定される単純なメモリ辞書です。そのセッションIDはすでに大きなキースペースでランダムに生成されているか、ユーザーはお互いのセッションIDを推測できるため、新しいセッションIDは完全に無駄で不要です。 PHPと何らかのフレームワークで認証を処理させましょう。 HTTPSでトランスポートを暗号化してください。十分安全です。 – Henrik