session_set_cookie_params 安全吗?
Is session_set_cookie_params secure?
我们目前正在使用一个自定义登录系统,该系统在一个站点的数据库中设置一个哈希值,然后当用户在域和子域之间转移时,它会让他们登录。它并不总是让用户登录所以他们点击登录 link/button 并将他们带到登录,如果他们有一个会话,它会加载它,否则它会显示登录页面。
我们想摆脱它并使用更好的东西。 php 有 session_set_cookie_params
,我们想知道这安全吗?
session_set_cookie_params(3600, "/", ".example.com");
如果这不是跨多个域使用会话的好方法,那更好的方法是什么?
我们还有一些使用自己登录系统的子域,其中同一用户在该系统上有不同的 username/password,this/that 会不会有问题?我们认为两个不同的人可以使用相同的会话 ID 将两个不同的人登录到同一个帐户,因为他们管理自己的会话。
这是一个很好的方法,但是您必须考虑到,如果您希望参与同一会话的所有 domains/subdomains 不在同一服务器上或驻留在不同的应用程序中,您需要提供一些通用的所有应用程序都可以访问会话数据的后端会话存储机制。
就处理多个登录而言,您可能需要一种合乎逻辑的方法来 link 登录在一起,这样您就可以理解一个登录下的有效会话可以转移到另一个登录上的另一个登录领域。这确实是您最大的安全问题,应该可以通过实施单点登录机制来解决。
我们目前正在使用一个自定义登录系统,该系统在一个站点的数据库中设置一个哈希值,然后当用户在域和子域之间转移时,它会让他们登录。它并不总是让用户登录所以他们点击登录 link/button 并将他们带到登录,如果他们有一个会话,它会加载它,否则它会显示登录页面。
我们想摆脱它并使用更好的东西。 php 有 session_set_cookie_params
,我们想知道这安全吗?
session_set_cookie_params(3600, "/", ".example.com");
如果这不是跨多个域使用会话的好方法,那更好的方法是什么?
我们还有一些使用自己登录系统的子域,其中同一用户在该系统上有不同的 username/password,this/that 会不会有问题?我们认为两个不同的人可以使用相同的会话 ID 将两个不同的人登录到同一个帐户,因为他们管理自己的会话。
这是一个很好的方法,但是您必须考虑到,如果您希望参与同一会话的所有 domains/subdomains 不在同一服务器上或驻留在不同的应用程序中,您需要提供一些通用的所有应用程序都可以访问会话数据的后端会话存储机制。
就处理多个登录而言,您可能需要一种合乎逻辑的方法来 link 登录在一起,这样您就可以理解一个登录下的有效会话可以转移到另一个登录上的另一个登录领域。这确实是您最大的安全问题,应该可以通过实施单点登录机制来解决。