Az SG mobilverzioja
-
#48
Na igen, ez most nekem is felvetődött, de a jelenlegi authentikációs rendszer biztonsági okokból (login IP címhez társítása) nem teszi lehetővé.
Nekem lenne rá egy egyszerű megoldásom, de lehet hülyeséget mondok így kora reggel: kliensoldalon szimpla session id tárolás, szerveroldalon több IP társításának lehetősége az adott session-höz, és session resume-kor ezen IP címek ellenőrzése.
Valahogy így:
-user táblában az adott session id tárolása, loginkor ennek használata
-külön táblában, vagy egyszerűségi és kompatibilitási okokból inkább szintén a user táblában a hitelesített IP címek listájának tárolása, ellenőrzése
-kijelentkezéskor a fenti adatok + PHPSESSID cookie törlése, esetleg opció, hogy csak az eszközről kijelentkezés (csak cookie törlés) vagy globális kijelentkezés (cookie+szerveroldali adatok törlése)
Vagy még esetleg IP alapú ellenőrzés helyett különböző, superglobalokban elérhető kliensadatok hashelése, ezek listája az IP cím lista helyett. Ennek előnye: dinamikus IP-seknek sem kéne újraloginolni. Hátránya: bruteforceolható talán, főleg az adott user böngészési szokásait ismerve(OS, screen res, user agent).