, 난이 DB의 각 사용자와 고유 한 세션 ID를 저장해야 할 ( 의 사용자 테이블을 마지막 세션 ID를 저장하고 확인하는 사용자가 유효한 세션이있는 경우) .
아니요, 사용자가 데이터베이스에 연결되어있는 동안 둘 이상의 세션을 가질 수 있습니다.
사용자는 쉽게 사설 브라우저 인스턴스로 이동하여 사이트에 액세스 할 수 있습니다. 비올라, 새로운 세션.
세션 ID가 일치하는지 확인하기 위해 실제로 보안상의 이점을 얻는 것은 아니며, 세션 종료 이벤트에 연결하여 데이터베이스에서 마지막 세션 ID를 지워야합니다. 사용자의 세션 시간이 초과되어 나중에 다시 나타나면 세션 ID가 달라 유효합니다.
로그 아웃하거나 창을 닫을 때까지 (사용자가 창을 열어 두는 데 관계없이) 사용자 세션을 활성 상태로 유지하는 것이 좋습니다.
세션 제한 시간 전에 서버에 ping을 보내는 페이지에 AJAX 콜백을 사용하여 세션을 유지할 수 있습니다.
그러나 이것은 절대적인 의미라고 말할 수 있습니다. 보안상의 문제입니다. 누군가 워크 스테이션을 열어두고 페이지를 열면 다른 사용자가 해당 사용자 아래의 사이트에 액세스 할 수 있습니다.
사용자가 브라우저를 닫지 않고 워크 스테이션을 열어 두어도 적어도 세션이 시간 초과되어 사용자가 사이트에 액세스 할 수 없습니다.
물론 시나리오는 Internet Explorer를 사용하지 않는다고 가정하고 로그인 한 사용자의 자격 증명을 자동으로 사이트로 전달합니다. 그러나 다른 브라우저 (Safari, Firefox, Chrome)를 사용하는 경우 Windows 자격 증명이 계속 사용되지만 사용자에게는 사용자 이름/비밀번호 대화 상자가 표시되므로 사소한 경비가 발생합니다.
일반적으로 세션 시간 제한을 유지하십시오. 이 매우 인 경우를 제외하고는 우회하지 마십시오.
일반적으로 세션 레벨 세부 정보는 사용자 로그인 및 암호를 통해 시스템에 들어가는 데이터베이스에 저장되지만 내 응용 프로그램에는 로그인 페이지가 없습니다. 이 목적으로 만 추적하는 않는 한 당신은 아무것도하지 않아야
적극적으로 데이터베이스에 세션를 연결합니다. 사용자가 응용 프로그램에 로그인 할 때 사용자를 대할 때 사용자가 가지고있는 세션 ID (이 작업에서는이 번호가 무작위이고 의미가 없습니다)를 기반으로 선택을하는 데 신경을 쓰지 않습니다. 사용자
통합 인증 인 경우 사용자는 쉽게 로그 아웃 할 수 없습니다. 또한 브라우저 창을 닫았는지 확인하려면 어떻게합니까? 두 발언 모두 당신이하려고하는 것이 까다로울 수 있다는 것을 알아야합니다. –
다른 보안 옵션에는 어떤 것이 있습니까? – user1263981
사용자를 제한하지 않습니다. –