質問 > 管理機能 > 共有SSLの問題を皆で解決しましょう!(というか本当に必要です;) |
管理機能
フラット表示 | 前のトピック | 次のトピック |
投稿者 | スレッド |
---|---|
nanasess |
投稿日時: 2008/10/27 7:55
対応状況: −−−
|
神 登録日: 2006/9/9 居住地: 投稿: 2314 |
Re: 共有SSLの問題を皆で解決しましょう!(というか本当に必要です;) tonton 様
引用:
transactionid は, LC_Page#getToken() を呼んだ時に, トークンの内容をセッションに保存します. 画面遷移をする際, LC_Page#getToken(), LC_Page#isValidToken() を使用しない場合は, セッションに保存されないため, 差異が発生しているものと思われます. 引用:
セキュリティの面から, 本来なら, 画面遷移するすべての箇所において, transactionid を発行するべきですが, 現在は要所のみの実装となっているためです. 引用:
セッションの dtb_session 保存は, セッションハンドラが勝手にやってくれますので, 特に意識しなくても良いかと思います. 共有SSL で, 非SSL と SSL のページを跨ぐと, Cookie が使えなくなるので, セッションの紐付けができなくなります. 代わりに transactionid を使用することで, 遷移時に一意の値を共有できるので, これにセッションの値を紐付けてやれば良いです. dtb_session に transactionid を格納するカラムを追加しても良いですが, セッションの管理がややこしくなるので, transactionid と シリアライズしたセッションを格納する別のテーブルを用意した方が良さそうです. 1. 非SSL - transactionid を発行し, シリアライズしたセッションを保存 2. SSL - isValidToken() で transactionid を取得し, transactionid と紐付けたセッションを取得, 新たに開始されたセッションを上書き といったイメージですが, 伝わりますでしょうか... |
フラット表示 | 前のトピック | 次のトピック |