PHP+MySQLで会員サイトを作っています。
1. 誰か一人がログインしていたら、そのログイン会員と同じIDとパスワードでログインしようとするとログインできないようにするか、元のログインしていた人が強制的にログアウトするようにしたい。
2. 一人のユーザーが複数アカウントを作って会員サイトを使いたい放題にするのを阻止したい。
そのため、「PC1台からは必ず1ユーザーのみしかログインできないようにしたい」です。
(複数PCを使われたら仕方ないかもしれません・・・)
よく銀行サイトのようにログイン中に他のブラウザや端末からログインしようとすると「すでにログイン中です。ログインし直しますか?」のようになりますが、1.はこんな感じを考えています。
仕組みとしてはどのようにするのが良いのでしょうか?
1. ログイン時にセッションIDを作り、データベースにそのセッションIDとIPアドレスを記憶しておいて、Web上で何か操作するたびにブラウザ側のセッションIDとデータベース側のセッションIDを比べて同じなら操作を実行し、違うなら操作できないようにする。
2. ログイン中に別のブラウザからログインしようとすると、データベース側に保存されているセッションIDが違うのでログインできないようにする。
3. 同じIPアドレスですでにログイン中の場合、同じPCからは他のアカウントでログインできないようにする。
こんな感じでしょうか?
何か問題点やそもそもこの仕組は間違っていて常套手段があるなどありましたらお教えください。
なんとなく、IPアドレスのチェックはWiMAXなどは時間とともに変わったりするのであまり良くはないかもしれません。
どうぞよろしくお願い致します。
No.1ベストアンサー
- 回答日時:
何件か参考になるQ&Aがありました。
【Google検索結果】
https://www.google.co.jp/search?q=php+%E5%A4%9A% …
「ログアウトせず、ブラウザを閉じたりするとログイン情報がが残り、最終アクセス日時からタイムアウト時間が経過するまでログインできません。」
これは大問題です。基本的に "操作出来ないようにする" という方針はやめたほうがいいです。 そうではなくて、新しくログインしようとしたときに "既存のセッションを終了させる" という方法を採ればすんなり解決できます。実際、私がやっていたネットゲームではこの方法が採られていましたww
IPアドレスに関してですが…いわゆるガラケーであれば個体識別番号というものがありましたが、現状ほとんどのデバイスではそういったものは存在せず、ユーザーに特別なソフトウェアをインストールしてもらわない限り、IPアドレスで判別するしかありません。これは妥協すべき点だと思います。
逆に…ガラケーにも対応させるのであれば、IPアドレスだけでのチェックは不十分です。何故ならば、複数のユーザーが同一のプロキシサーバーを経由してインターネットにアクセスするため、ユーザーが違ってもIPアドレスが一致するケースが大いにあるからです。個体識別番号が環境変数に存在しているかどうかを調べ、存在していればそれを使用し、存在しないならばIPアドレスを使用する、といった工夫が必要になります。
今回の件とは直接関係ないですが参考にどうぞ↓
Qiita - PHPでデータベースに接続するときのまとめ
http://qiita.com/mpyw/items/b00b72c5c95aac573b71
ご回答ありがとうございます。
>これは大問題です。基本的に "操作出来ないようにする" という方針はやめたほうがいいです。そうではなくて、新しくログインしようとしたときに "既存のセッションを終了させる" という方法を採ればすんなり解決できます。
たしかにそうですね。既存のセッションを終了させる方向で行きたいと思います。
>IPアドレスで判別するしかありません。これは妥協すべき点だと思います。
はい、IPアドレスも完全ではないですが、妥協するしかなさそうですね。
ガラケーには対応させないです。スマホにも対応予定はなく、基本的にPCでの利用のみを考えています。
あと、リンクありがとうございます。
じっくり読まさせていただきます!
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(プログラミング・Web制作) Windowsのマクロプログラムで、こんなことできますか? 3 2022/06/28 14:30
- その他(ブラウザ) Microsoft Edge(最新版)保存中サイトが全てログオフ状態で困っています! 3 2022/06/15 11:02
- Chrome(クローム) 入力フォームの履歴を消したい 2 2023/06/29 13:02
- Yahoo!メール Yahooアカウントにログインできなくなって困っています。 2 2023/05/16 02:28
- ルーター・ネットワーク機器 NUROのルータF660Aについて 2 2022/09/07 11:44
- PHP 「ログイン機能を持たせる」説明が気難しいです。 2 2022/10/11 02:59
- Windows 10 dアカウントでログイン 5 2022/11/25 17:26
- Google Drive Google IDでログインする時にアカウントID一覧に出てくるIDを削除したい。 1 2022/10/02 11:17
- MySQL 「掲示板のログイン画面」はPHP~MySQLに「データベース認証のシステム」方式です。 1 2022/09/27 05:00
- Java JavaでWebページ作成 7 2023/07/21 21:09
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
特定のページからのみのアクセス
-
PHPのセッション有効期限について
-
リアルタイムカウンター
-
セッション変数の命名規則
-
session_set_save_handler と ...
-
セッション管理を携帯用とPC用
-
URLのパラメータをGETのままで...
-
負荷分散におけるセッションID...
-
PHP4からPHP5へ移行した際、セ...
-
Dosブロンプトでtabを出力したい
-
「取得先」という表現について
-
Yahoo! JAPAN IDを新規取得でき...
-
PHP一覧表示した項目にリンクを...
-
switch()文で値の大小比較
-
DMMの動画を全件取得したのです...
-
自分の掲示板にアクセス解析を...
-
DTOとEntityの差は何ですか。
-
ps3で久しぶりにCDの音楽情報取...
-
php 入力画面から確認表示画面...
-
小数点以下0の非表示
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
URLのパラメータをGETのままで...
-
PHPのセッション有効期限について
-
PHPのセッションについて
-
ブラウザを閉じた後もセッショ...
-
Sessionの上限について
-
$_SESSIONと、POSTやGETの違い
-
ログインしたら他からログイン...
-
複数のサーバで運営する場合の...
-
301リダイレクトはセッション引...
-
「戻る」ボタンで値の保持
-
セッションのスコープ(有効範...
-
セッション ID とセッション名...
-
ログイン画面をはさんだ後、自...
-
session_start()で生成されるセ...
-
管理者としてログイン
-
セッション変数にパスワードを...
-
セッションを維持したまま、サ...
-
PHP cookieの値が更新されない...
-
セッションが正しく更新されな...
-
POSTで情報を他のサーバーに渡...
おすすめ情報