Q&A
ログイン中のアカウントをクッキーに入れておけば同じブラウザではログインできなくなるようにできますが、別のブラウザやスマホなども含めるのかどうかで難易度が大きく変わってきます。
タイトルのとおりです
二重ログインの防止のアルゴリズムを教えて下さい。
node.js と データベースを利用してできないか考えています。
ただRaspberry Piを使用するため、
データベースサーバーが落ちる可能性もあるので、それを考慮したアルゴリズムを教えていただけたらなと思います。
多数のクライアントで、二重ログインができないようにしたいです。
二重ログインの定義ですが、
同一人物が複数の別の端末を使って一つのアカウントで同時にログインすることを禁止したいです。
また、特定のidでログイン中はおなじidでログインできないようにしたいです。
別のブラウザやスマホなども含めます
「ここで言う二重ログイン」の定義を、質問を編集して明確にしてください。
私は「同一人物が別の端末を使って複数のアカウントで同時にログインすること」と読みましたが、それを防ぐことはほぼ不可能ではないかと思います。どこまでを防ぎたいかによって回答が変わってくると思いますから、これは重要な情報です。
すみません。編集します。
回答3件
0
二重ログイン防止は大きく2つあるでしょう
- 特定のidでログイン中はおなじidでログインできない
- 特定のidのログイン中、おなじidでログインしたら前のセッションをきる
オーバーヘッドを考えると前者の方が有利なきがしますが
前者はきちんとログアウト(ログオフ?)をしないと、ログイン中とみなされ
二度とログインできなくなるので工夫が必要そうです
あとからのログインを弾く
- 最長ログイン時間を設定する=例えば5分
- ログイン時に現時刻を最終ログイン時刻としてDBに保存
- セッションidをクッキーに生存期間5分で保持
- ログイン中定期的に生存情報をサーバーに流す、
たとえば4分毎に最終ログイン時間を更新
合わせてクッキーの生存期限も延長
- ログアウト時は、最終ログイン時間を適当な過去の日時に変更
上記状況で
- ログインしようとする時に、最終ログイン時間が5分以内なら弾く
投稿2019/11/20 02:03
編集2019/11/20 02:31
総合スコア114896
質問を編集します。
二重ログインってそっちか
二重「に」ログインだと思ってた...
0
二重ログインという状態の定義からはじめては?
実装は、状態の何らかのフラグを参照するだけなので、定義次第かと。
投稿2019/11/20 01:48
退会済みユーザー
総合スコア0
0
ベストアンサー
後からログインした方を有効にする場合のアルゴリズムはこんな感じかと。
- セッション周りは自力で実装するよりはフレームワークの提供する機能が使えないか確認した方が良いです。
- ユーザーがログインに成功したら、セッションIDを発行してCookieに保存させる(通常のログインと同様。クライアント毎に異なるセッションIDが保存される)
- ユーザーIDとセッションIDを紐づける情報をサーバのファイルなりDBなりに保存する。同じユーザーIDで異なるセッションIDと紐づいている情報が存在する場合はそれを上書きする。
- ユーザーがアクセスする際には常にセッションIDから2の情報も確認するようにして、
2の情報がクライアントのセッションIDと同一の場合以外はセッションを破棄して、ログインが不必要な画面に遷移させる。
他のケース(先に他の蔵アントがログインしていたら後からはログインさせない、同じクライアントでも別のネットワークからのアクセスになったらセッションを切る等)でも処理に必要な情報を2の情報に含めて保存し、必要なタイミングで比較すれば実装可能になります。
投稿2019/11/20 02:07
編集2019/11/20 02:18
総合スコア18713
ベストアンサーにしたいのですが、もう少し待ってみます。ありがとうございます。
あなたの回答
tips
プレビュー
