ログインしたら他からログインできないようにしたい

PHP+MySQLで会員サイトを作っています。

1. 誰か一人がログインしていたら、そのログイン会員と同じIDとパスワードでログインしようとするとログインできないようにするか、元のログインしていた人が強制的にログアウトするようにしたい。

2. 一人のユーザーが複数アカウントを作って会員サイトを使いたい放題にするのを阻止したい。
そのため、「PC1台からは必ず1ユーザーのみしかログインできないようにしたい」です。
（複数PCを使われたら仕方ないかもしれません・・・）

よく銀行サイトのようにログイン中に他のブラウザや端末からログインしようとすると「すでにログイン中です。ログインし直しますか？」のようになりますが、1.はこんな感じを考えています。

仕組みとしてはどのようにするのが良いのでしょうか？

1. ログイン時にセッションIDを作り、データベースにそのセッションIDとIPアドレスを記憶しておいて、Web上で何か操作するたびにブラウザ側のセッションIDとデータベース側のセッションIDを比べて同じなら操作を実行し、違うなら操作できないようにする。

2. ログイン中に別のブラウザからログインしようとすると、データベース側に保存されているセッションIDが違うのでログインできないようにする。

3. 同じIPアドレスですでにログイン中の場合、同じPCからは他のアカウントでログインできないようにする。

こんな感じでしょうか？
何か問題点やそもそもこの仕組は間違っていて常套手段があるなどありましたらお教えください。
なんとなく、IPアドレスのチェックはWiMAXなどは時間とともに変わったりするのであまり良くはないかもしれません。

どうぞよろしくお願い致します。

No.1 ベストアンサー 回答者： To_aru_User 回答日時： 2014/02/16 22:41

何件か参考になるQ&Aがありました。

【Google検索結果】
https://www.google.co.jp/search?q=php+%E5%A4%9A% …

「ログアウトせず、ブラウザを閉じたりするとログイン情報がが残り、最終アクセス日時からタイムアウト時間が経過するまでログインできません。」

これは大問題です。基本的に "操作出来ないようにする" という方針はやめたほうがいいです。 そうではなくて、新しくログインしようとしたときに "既存のセッションを終了させる" という方法を採ればすんなり解決できます。実際、私がやっていたネットゲームではこの方法が採られていましたｗｗ

IPアドレスに関してですが…いわゆるガラケーであれば個体識別番号というものがありましたが、現状ほとんどのデバイスではそういったものは存在せず、ユーザーに特別なソフトウェアをインストールしてもらわない限り、IPアドレスで判別するしかありません。これは妥協すべき点だと思います。

逆に…ガラケーにも対応させるのであれば、IPアドレスだけでのチェックは不十分です。何故ならば、複数のユーザーが同一のプロキシサーバーを経由してインターネットにアクセスするため、ユーザーが違ってもIPアドレスが一致するケースが大いにあるからです。個体識別番号が環境変数に存在しているかどうかを調べ、存在していればそれを使用し、存在しないならばIPアドレスを使用する、といった工夫が必要になります。


今回の件とは直接関係ないですが参考にどうぞ↓

Qiita - PHPでデータベースに接続するときのまとめ
http://qiita.com/mpyw/items/b00b72c5c95aac573b71

この回答へのお礼

ご回答ありがとうございます。

＞これは大問題です。基本的に "操作出来ないようにする" という方針はやめたほうがいいです。そうではなくて、新しくログインしようとしたときに "既存のセッションを終了させる" という方法を採ればすんなり解決できます。

たしかにそうですね。既存のセッションを終了させる方向で行きたいと思います。

＞IPアドレスで判別するしかありません。これは妥協すべき点だと思います。

はい、IPアドレスも完全ではないですが、妥協するしかなさそうですね。
ガラケーには対応させないです。スマホにも対応予定はなく、基本的にPCでの利用のみを考えています。

あと、リンクありがとうございます。
じっくり読まさせていただきます！

お礼日時：2014/02/17 17:26