自動ログイン機能

PHPで次回以降に自動でログインできる「自動ログイン機能」を追加したいです。
プログラムの機能として実装するとなった時、一般的によく使われている手法がありましたら教えていただきたいです。

No.1 回答者： goold-man 回答日時： 2021/02/21 19:54

自動ログイン機能3つの方法

1）CookieにIDとパスワードを保存
cookieにログインに必要な情報を保存しておき、サイト側でそれを読み取ることで自動ログインを実現。
cookieの値はXSS（クロスサイトスクリプティング）攻撃などで盗まれる可能性がある。「攻撃可能領域の最小化の原則」に反するため、この方法は駄目。

2）セッションの有効期限を長くする
ユーザーが今ログインしているかというのは普通セッションで判断しているので、そのセッションを切れないように延長して自動ログインを実現。

3）オートログイン専用のcookieを作り判断する
cookieに保存する情報はクレデンシャル情報とは関係ないランダムな値にして、データベースと参照して、合致したら自動的にログインするという仕組み。
cookieの情報はログインには全く関係のない情報なので、取られでも問題はない。安全性を高めるために、ログイン毎にキーを作り直すと良い。

参考URLをご覧ください。
https://hi.seseragiseven.com/archives/543

No.2 回答者： yambejp 回答日時： 2021/02/22 18:11

自動ログインじゃなくてログインしっぱなしってことですよね？

セッションで処理すれば良いと思います