Q&A
PHP初心者です。ユーザのログインスクリプトを書いていますが、トークンについて教えてください。
ユーザのログイン時に下記のようにしました。
lang
1$_SESSION["token"] = md5(rand(time (), true));
トークンとはこの文字列を使ってユーザが同一人物であるか否かをチェックしている、という風に理解していますがあっていますでしょうか?
回答1件
0
ベストアンサー
session_start()した時点で、ユニークなSessionIDが生成されます。
なのでそのようなことはしなくよいです。
基本的な流れとしては・・・・
ユーザ認証に成功したら、認証されたIDをSession変数に入れて持ち回ります。
lang
1$_SESSION['UserID'] = $user->getId();
ログアウト時はSessionを破棄します。
lang
1session_destroy();
認証をかけたいページは、すべて最初にsession_start()します。次のような感じですね。
lang
1// セッションスタート 2session_start(); 3// セッションハイジャックの防止 4session_regenerate_id(true); 5// ログインしているかどうか確認する 6if ( !isset($_SESSION['UserID']) ) { 7 // 8 9 10}
トークンは次のような感じで生成して
lang
1$hash = md5(mt_rand(1,1000000) . $salt); 2$_SESSION['CSRFHash'] = $hash; 3
検証します。
lang
1if ( $_SESSION['CSRFHash'] === $hash ) { 2 // 3 4}
これだけでもそれなりに大きなテーマなので、マニュアルもよく参照してみてくださいね。
セッション処理について
http://php.net/manual/ja/book.session.php
session_start()
http://php.net/manual/ja/function.session-start.php
session_destroy()
http://php.net/manual/ja/function.session-destroy.php
投稿2014/12/09 12:32
総合スコア72
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。