質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.37%
Cookie

HTTPにおけるCookieとは、クライアントのウェブブラウザ上に保存された一時的なデータを指します。クライアント側のJavaScriptでも、サーバー側のHTTPヘッダーでもクッキーの読み書き・修正・削除が可能です。

Webサイト

一つのドメイン上に存在するWebページの集合体をWebサイトと呼びます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

セッション

Sessionはクライアントがサーバに送ったすべてのリクエストのことを指します。

ログイン

ログインは、ユーザーがコンピューターシステムにアクセスするプロセスの事を呼びます。

Q&A

解決済

2回答

1358閲覧

会員サイトログイン保持機能

gegegege

総合スコア26

Cookie

HTTPにおけるCookieとは、クライアントのウェブブラウザ上に保存された一時的なデータを指します。クライアント側のJavaScriptでも、サーバー側のHTTPヘッダーでもクッキーの読み書き・修正・削除が可能です。

Webサイト

一つのドメイン上に存在するWebページの集合体をWebサイトと呼びます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

セッション

Sessionはクライアントがサーバに送ったすべてのリクエストのことを指します。

ログイン

ログインは、ユーザーがコンピューターシステムにアクセスするプロセスの事を呼びます。

0グッド

8クリップ

投稿2021/08/25 00:14

前提・実現したいこと

PHPでWebアプリケーションを作っており、ログイン機能を実装したいと思っています。
ログインされたらブラウザが閉じられた後にも一定時間はログインされっぱなしにし、メイン画面に直接アクセスしてもログイン画面にリダイレクトされないようにしたいです。

発生している問題・エラーメッセージ

ログイン画面でログインされた後セッションに会員情報が保管されているデータベースのidを保存して、メイン画面に移行するようにしています。
ログインされた状態でブラウザの別タブを開きメイン画面のURLを入力するとセッションのid情報を参照して登録されている会員かチェックし、登録されている会員であればログインされたままになっていますが、ブラウザを閉じるとセッション情報がなくなって再度ログインが必要になってしまいます。

該当のソースコード

下記のおためしコードを作成してセッションの挙動を確認していました。
上のlogin.phpにアクセスするとセッションが保存されて下のmain.phpに移動されるようにしています。
ブラウザを一度閉じた後に下のmain.phpに直接アクセスしても設定した期限内であればHello World!が表示されるようにしたいです。

php

1<?php 2session_start(); 3$_SESSION["test"] = "on"; 4header("Location: ./test.php"); 5exit(); 6?>
<?php session_start(); if ($_SESSION["test"] !== "on") { header("Location: ./index.php"); } ?> <!DOCTYPE html> <html lang="ja"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Document</title> </head> <body> Hello World! </body> </html>

試したこと

自分なりに調べてみたところ、session.cookie_lifetimeの値を設定することでブラウザが閉じられても設定した値の秒数はセッションが破棄されないことが分かりましたが、セキュリティ的に問題ないのかという点までは分かりませんでした。
ログイン状態を2週間保ちたい場合に、session.cookie_lifetimeの値を606024*14にしても問題ないか、もしくは他のベストプラクティスがあればご教授いただきたいです。

補足情報(FW/ツールのバージョンなど)

Windows10
XAMPP3.2.4
PHP8.0.1
apache2.4.46

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ログイン状態を2週間保ちたい場合に、session.cookie_lifetimeの値を606024*14にしても問題ないか、もしくは他のベストプラクティスがあればご教授いただきたいです。

ベストプラクティスであるか否かはそのサービス次第になってしまうので、なんとも言えませんが、よくある例としては、デフォルトのログインではログイン状態をn時間保持し、ログイン時にログイン情報を保存するをチェックにしたユーザは長期的なログイン情報を保存するというやり方です。

認証系の処理は、PHPのフレームワークであるLaravelに任しているのであまりこの命題を考えたことがなかったのですが、Laravelの認証パッケージでは以下の様になっているそうです。

比較内容有効期限
ログイン情報を保存するをクリックしなかった場合2時間
ログイン情報を保存するをクリックした場合5年

有効期限が5年となっていることから、ログイン情報を保存するをクリックした場合、ユーザは意図せずにログアウトすることはない。と言ってもいいのでそれを許容できるかどうかだと思います。

より、セキュアにしたいのであれば例えばログインアクティビティを確認できる様にしたり、2段階認証でログインする、新しいデバイスからのログイン時にユーザに通知する。などの別の機能でのアプローチも可能ですので合わせて検討してみてください。

投稿2021/08/25 02:23

kai0310

総合スコア2076

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

gegegege

2021/08/25 10:49

ありがとうございます! 考えてみるといろいろな機能のアプローチもありますね、その点も改めて設計しなおしてみます!
guest

0

ベストアンサー

問題があるかどうかはサービス要件によって決められるものなので、ご自身で判断いただくのがよろしいかと思います。
つまり、ベストはないです。

場合によっては毎回ログイン+無操作時間○分で切りますし、社内システムなどでは長い時間有効にすることもあるでしょう。 
厳しすぎるとユーザーが使いづらく、緩すぎると脅威に対する心配事が増えるので「どれくらいがちょうどいいか」考えるのもサービス提供者の仕事です。

投稿2021/08/25 00:22

m.ts10806

総合スコア80875

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

gegegege

2021/08/25 10:47

ありがとうございます! システムによって変わってくるんですね、その点も改めて設計しなおしてみます!
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.37%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問