teratail
回答率
85.31%
teratail header banner
teratail header banner
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.31%
トップRubyに関する質問
Ruby

Rubyはプログラミング言語のひとつで、オープンソース、オブジェクト指向のプログラミング開発に対応しています。

Node.js

Node.jsとはGoogleのV8 JavaScriptエンジンを使用しているサーバーサイドのイベント駆動型プログラムです。

Java

Javaは、1995年にサン・マイクロシステムズが開発したプログラミング言語です。表記法はC言語に似ていますが、既存のプログラミング言語の短所を踏まえていちから設計されており、最初からオブジェクト指向性を備えてデザインされています。セキュリティ面が強力であることや、ネットワーク環境での利用に向いていることが特徴です。Javaで作られたソフトウェアは基本的にいかなるプラットフォームでも作動します。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

Q&A

解決済

3回答

8483閲覧

複数端末からのユーザーログインを不可にしたい場合は?

退会済みユーザー

退会済みユーザー

総合スコア0

Ruby

Rubyはプログラミング言語のひとつで、オープンソース、オブジェクト指向のプログラミング開発に対応しています。

Node.js

Node.jsとはGoogleのV8 JavaScriptエンジンを使用しているサーバーサイドのイベント駆動型プログラムです。

Java

Javaは、1995年にサン・マイクロシステムズが開発したプログラミング言語です。表記法はC言語に似ていますが、既存のプログラミング言語の短所を踏まえていちから設計されており、最初からオブジェクト指向性を備えてデザインされています。セキュリティ面が強力であることや、ネットワーク環境での利用に向いていることが特徴です。Javaで作られたソフトウェアは基本的にいかなるプラットフォームでも作動します。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

0グッド

1クリップ

投稿2017/07/20 00:03

0

1

パソコンやスマホなど複数端末からの同時ログインを不可にしたいのですが、どのように同じユーザーが複数端末でログインしているか、しようとしているかを判定出来ますでしょうか?

今はユーザーログイン時に毎回トークンを発行して、そのトークンでクライアント側からAPIにリクエストを送るようにしています。

ユーザー登録時にユーザー情報とともに、そのユーザー用のトークンをdbに保存し、ユーザーがログインする時は毎回、dbに保存しておいたそのユーザー用のトークンを渡してあげれば良いでしょうか?

いや、単純にデータベースなどに各ユーザーが既にログイン状態にあるかどうかを記録しておいて、毎回、ユーザーログインがある度にそこと照らし合わせあげれば良いだけの話ですか?

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

トークンはユーザ登録ごとではなく、ログインごとに発行したほうがいいと思います。

  1. ログイン時にトークンを発行
  2. 発行したトークンと、ユーザIDをDBに保存(ユーザ情報のテーブルとは別)
  3. トークンはCookieに保存する。
  4. リクエストごとにCookieからトークンを取得し、DBを検索

トークンが存在しない場合
ログインしたユーザのIDで検索し、存在しなければトークン発行。
存在すれば、多重ログインエラーを返却

ここで問題になるのが、トークンを格納するDBのデータ削除です。
データが残ってしまうと、別端末でのログインができなくなってしまいます。
ログイン日時などを持たせチェックしてもよいですが、
memcacheやredisなどのキャッシュDBを使うことで、期限(タイムアウト)を設定すれば
自動で削除してくれます。

投稿2017/07/20 01:05

編集2017/07/20 01:06
mr-hisa-child
mr-hisa-child

総合スコア294

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

ベストアンサー

性能と実装の容易性を別にすればご質問の内容で問題無いと思います。基本的にCSRF攻撃対策とほぼ同じです。
ただ「DBにログイン中の状態を保持する」のは(ここでいうDBが普通のRDBならば)性能問題と揮発時間の管理の難しさが伴い、けして簡単とはいえないと思います(要件次第ですが)。
アクセス数が限定的なイントラ系ならいざしらず、通常のWEBサービスであれば(インメモリDBとか特殊な仕掛けを用意しないかぎり)都度RDBへの同期書き込みはほぼNGだと思います。
このためトークンの保持はkey-value-store(redis等)をおすすめします。
また要件次第ですが揮発時間に関しては"後勝ち"方式が揮発時間を考えなくてよいので実装が楽です。
(ログインし直せばトークンが新規に発行される)
※以下スライドの21ページ「複数端末をつかったチート」がこの方式。
https://www.slideshare.net/geechs_inc/f4samuraitech-valley-20160218

あとブラウザの複数タブ使うのを前提にしてるとか、複雑な非同期通信があるとかいった場合、正規ユーザでも複数端末アクセス扱いにしてしまうバグを生みやすいので注意点が必要です。

投稿2017/07/20 04:35

編集2017/07/20 04:43
kurokoba
kurokoba

総合スコア276

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2017/07/20 13:13

ご回答ありがとうございます!トークン上書きはシンプルで良いですね!リンク先スライドも参考になりました。ありがとうございます。 ちなみに、「あとブラウザの複数タブ使うのを前提にしてるとか、複雑な非同期通信があるとかいった場合、正規ユーザでも複数端末アクセス扱いにしてしまうバグを生みやすいので注意点が必要です。」というのは、どういった理由からなのでしょうか?
kurokoba
kurokoba

2017/07/21 02:17

例えばブラウザでtokenをhiddenで送信する場合などです。 これだと複数タブは実質2端末アクセスのようになってしまいます。 同じくajaxで「画面全体を書き換えない」が、「token書き換える場所が1画面に複数ある」 場合なども作りが悪いと2回目の更新ができなくなっちゃいます。 ※ちょっと言葉が足りなかったですがCSRFと多重ログイン同時に対応しようとした場合の話でした。 昔cookie非対応のガラケーとかとソース併用してる場合見かけたけど今の時代不要ですよね。 CSRFと多重ログインは別に考えた方が良い(訂正します。大変失礼しました...。)。
guest

0

ご提示のようにDBに「ログイン中」のフラグを持っておくのが簡単だと思います。
「ログアウト」すると解除にする。
ただし、ブラウザをそのまま閉じた場合はログアウト処理を介さないので最終アクセス日時などを都度更新しておいて、一定時間更新がない場合は「ログイン中」となっていた場合でもログインを許可するなど、考慮が必要ですね。
※同端末であってもブラウザ閉じてしまった場合は一定時間経たないとログインできないってことになりますが・・

投稿2017/07/20 00:16

m.ts10806
m.ts10806

総合スコア80888

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.31%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップRubyに関する質問

複数端末からのユーザーログインを不可にしたい場合は?