会員向けページを作る場合に Cokkie に焼く情報を教えてください。

解決済

質問者：noname#159148
質問日時：2009/07/25 22:39
回答数：5件

会員向けページを作る場合に、Cokkieを焼いて、一度ログインすればブラウザを閉じるまではログインしっぱなしという状態にしたいのですが、どのような Cookiie を焼けばよいと思いますか？焼くCookie にはユーザーIDとpassword 以外に何が必要でしょうか？アドバイスお願いします。

通報する

この質問への回答は締め切られました。

質問の本文を隠す

回答 (5件)

ベストアンサー優先
最新から表示
回答順に表示

No.5ベストアンサー

回答者： monmo__
回答日時：2009/07/29 07:24

システムの強度と実装の簡単さのバランスを考えると、有効期間の長いCookieとセッションIDを発行して、CookieにはそのセッションIDを書き込んでおくというパターンが多いのではないでしょうか？

サイトアクセス時に、有効なセッションIDがCookieデータとして送られてくればその人として処理します。（サーバー側セッション変数にUIDなどを持たせっぱなしにしておきます。）

懸念事項は、利用者数が多くなるとセッションに関する脆弱性が少し大きくなること（セッションIDの類推によるアクセスを含む）と利用者数が多い場合のサーバー側保持情報の肥大化くらいでしょうか。

強固なセキュリティが必要なシステムではお勧めできませんが・・・

- 0
- 件

通報する

この回答へのお礼

まとめてのお返事になりますが、大変参考になりました！
皆様から頂いた情報を参考に、いろいろと勉強を重ね、会員向けページの作成に取り掛かりたいと思います！

通報する

お礼日時：2009/08/09 14:08

No.4

回答者： mizutaki
回答日時：2009/07/26 10:39

私としてはCookieよりもSESSIONで管理する事をおすすめします。

下手にCookieの中に名前やパスワードなどを入れっぱなしにしていると、
想定外のセキュリティホールが出てくる可能性が高くなりますので、
勝手に変更されたら困りそうな情報は入れちゃダメ。

それでもCOOKIEでやるよとしたら、
私の場合はIDとID＋PASS＋鯖で設定した秘密のPASSあたりを組み合わせたmd5の結果かな。
Cookieにそのままパスワードを入れるのは嫌なので、そういうハッシュ値を保存したいです。