* Sessionを利用したForm認証 [#xdced4f0]
- ページ: [[BugTrack2]]
- 投稿者: [[umorigu]]
- 優先順位: 低
- 状態: 提案
- カテゴリー: 本体新機能
- 投稿日: 2016-01-21 (木) 01:41:51
- バージョン: 1.5.0
** メッセージ [#s4122278]
v1.5.0及び標準状態の認証方法はBasic認証のみである。認証方式の拡張性を高めるため、ユーザー名・パスワードをHTML Formで入力するForm認証を導入する。
一度ユーザー名・パスワードでログインした後は、Sessionによってその状態を維持する。
**セキュリティの考慮 [#i5452f18]
Basic認証ではリクエスト毎にユーザー名とパスワードが送信されるが、Sessionによるログイン状態の保持であればパスワードの送信は一度きりとなる。
Form認証であってもログイン状態でサイト上でできることは変わらないため、ブラウザとSessionを結びつけるキー(PHP session ID)はパスワードと同程度に秘匿する必要がある。つまり、セッションハイジャック等の攻撃に注意する必要がある。
--------
#comment
![[PukiWiki]](image/pukiwiki-dev.png "[PukiWiki]")
