Я рассматриваю проблемы, возникающие при аутентификации пользователей, используя сеансы / куки и риски безопасности, которые возникают при захвате сеанса. Я понимаю, что использование безопасного https: // является наиболее эффективным методом, а также функцией restoreate_session_id () и использованием случайной строки для проверки (среди множества дополнительных процедур).
Мой вопрос заключается в следующем: существует ли возможность включить метод, который отказывается от сеансов и файлов cookie, и использует только переменные, хранящиеся в базе данных?
Вот как я это установил:
-Выберите столбец в таблице пользователя, который может содержать IP-адрес, и тот, который будет логическим.
Когда пользователь «входит в систему», устанавливает текущий IP-адрес пользователя в базу данных и устанавливает значение Boolean равным false (если пользователь не хочет «запоминаться») или true (если они это делают).
-На странице загрузки он проверяет текущий IP-адрес с тем, который хранится в пользовательской базе данных. Если он совпадает, пользователь считается действительным.
-Закройте окно, затем скрипт очистит эти значения, и пользователь «выйдет из системы».
-Если пользователь хочет «оставаться в системе» (что я знаю, это огромный риск для безопасности), то переключатель (логическое значение) просто дезактивирует скрипт выхода из системы, и IP-адрес останется сохраненным для пользователя.
Какими были бы отступления от такого метода? Возможно ли это?
IP-адреса – это просто не точный и надежный способ однозначной идентификации пользователя. IP может измениться во время сеанса, и несколько агентов-пользователей могут использовать один и тот же исходящий IP-адрес.
Извини 🙂
В последнее время я видел такую проверку IP-адресов в системе, и это вызывало многочисленные проблемы с случайным отключением пользователей все время (при изменении их динамического IP-адреса). Просто не делайте этого, IP-адреса могут меняться, поэтому вы не можете полагаться на них.
Скорее всего, вы должны взглянуть на существующие методы аутентификации и попытаться реализовать это. Будь проще.
Существующие ответы, говорящие «динамический IP-вопрос», являются абсолютно правильными. Рассмотрим мобильное устройство, подключенное через 3g. каждый раз, когда пользователь входит в диапазон новой башни, их IP-изменения …