ログアウト機能の目的と実現方法
このエントリでは、Webアプリケーションにおけるログアウト機能に関連して、その目的と実現方法について説明します。 議論の前提 このエントリでは、認証方式として、いわゆるフォーム認証を前提としています。フォーム認証は俗な言い方かもしれませんが、HTMLフォームでIDとパスワードの入力フォームを作成し、その入力値をアプリケーション側で検証する認証方式のことです。IDとパスワードの入力は最初の1回ですませたいため、通常はCookieを用いて認証状態を保持します。ログアウト機能とは、保持された認証状態を破棄して、認証していない状態に戻すことです。 Cookieを用いた認証状態保持 前述のように、認証状態の保持にはCookieを用いることが一般的ですが、Cookieに auth=1 とか、userid=tokumaru などのように、ログイン状態を「そのまま」Cookieに保持すると脆弱性になります
携帯Webのクッキー利用について調べてみたメモ【update】
携帯でクッキーがどれぐらい使えるか調べたメモ。 ■3キャリア+スマートホン(PC)対応クッキー記述 クッキーのドメイン、パス指定に何も記述しなければ完全一致として扱われるのでこれであればそのままクッキーの読み書きは可能です。 しかし一定規模のシステムであれば、クッキーのスコープを広く取りたいケースの方が多いと思います。 サブドメイン、複数のAレコードによるWebサーバが存在する場合に、3キャリア共通に使えるようにするクッキーのドメイン指定は、「.」から始まるドメインを指定することで可能です。 例: Set-Cookie: testcookie=thankyoumovatwi; path=/; domain=.movatwi.jp この辺、ハマリ所なのでウノウラボの記事もご参考ください。(なんとドメインが.jpと.inで挙動が違うらしいという、、) 携帯とCookieドメイン ■携帯電話でク
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
