phpでの認証について

ウェブページやモバイルアプリから
PHPで構成されたサーバーに接続するようなサービスを考えています。
そこで認証処理を入れたいのですが、
PHPとMySQLをによるアクセストークンを使った認証を考えています。

ログインの際にトークンを生成し、クライアントサイドで持つようにする。
そして次回以降表示した時はuser_idとトークンが、
クライアントサイドとサーバー側で合致していればログイン状態とする、
という仕様にしようと思っています。

この仕組みでセキュリティは問題ありますでしょうか。
端末固有IDとトークンをそれぞれ認証に用いることによって、
複数端末からのログインを可能にしたり、
トークンがほかの人に知られてしまった場合でもアクセス出来ないため、
安全性が増すのではと考えていますが、
このような方法は一般的なのでしょうか

まだまだ初心者ですが、ご意見いただけると幸いです。

行動規範の内容に同意します

回答2件

ベストアンサー

私も，普通にPHP標準のセッション機能（PHPSESSIDというCookie）を使うだけでいいと思います．やろうとされていることは車輪の再発明にすぎません．ちょうど「トークン」が「PHPSESSID」に相当すると思います．

トークンがほかの人に知られてしまった場合でもアクセス出来ないため、

端末固有IDがバレてしまってもアクセスできますよね．ネットワークの仕組み上，リクエストパラメータは任意に組み立てることができますから．送信元は第三者が作成したプログラムかもしれません．

それに，「トークンがバレる」ということは暗号化されない通信を想定しているはずであり，暗号化せずに端末固有IDをネットワーク上に流すということのほうが問題です．もし暗号化しないのであれば，有効期限の短い識別子（つまりPHPSESSID）しか平文で流してはいけません．さらに，メールアドレスやパスワードの変更など，重要な情報が含まれる通信の際には事実上暗号化が必須になります．