回答編集履歴
1
a
answer
CHANGED
|
@@ -2,8 +2,10 @@
|
|
|
2
2
|
|
|
3
3
|
> トークンがほかの人に知られてしまった場合でもアクセス出来ないため、
|
|
4
4
|
|
|
5
|
-
端末固有IDがバレてしまってもアクセスできますよね.ネットワークの仕組み上,リクエストパラメータは任意に組み立てることができますから.**送信元は第三者が作成したプログラムかもしれません.**
|
|
5
|
+
端末固有IDがバレてしまってもアクセスできますよね.ネットワークの仕組み上,リクエストパラメータは任意に組み立てることができますから.**送信元は第三者が作成したプログラムかもしれません.**
|
|
6
6
|
|
|
7
|
+
それに,「トークンがバレる」ということは暗号化されない通信を想定しているはずであり,**暗号化せずに端末固有IDをネットワーク上に流す**ということのほうが問題です.もし暗号化しないのであれば,有効期限の短い識別子(つまりPHPSESSID)しか平文で流してはいけません.さらに,メールアドレスやパスワードの変更など,重要な情報が含まれる通信の際には事実上暗号化が必須になります.
|
|
8
|
+
|
|
7
9
|
- [PHPによる簡単なログイン認証いろいろ](http://qiita.com/mpyw/items/bb8305ba196f5105be15)
|
|
8
10
|
|
|
9
11
|
こちらのセッション認証を参考に実装を行ってみてください.
|