我一直在开发一个需要用户登录才能查看他们的材料的应用程序。每个用户都有自己的子域,该子域由其自己的帐户数据库锁定。(我这样做是有原因的,这与免费论坛的工作原理类似)。
我的问题是,如果用户登录使用他们的子域…
Example -- sub.domain.com
Example -- sub2.domain.com
一切正常,他们需要再次登录才能访问sub2。
但是,假设用户到这里登录(子域的实际目录)
Example -- domain.com/sub/
Example -- domain.com/sub2/
他们仍将登录并有权访问sub2
中的所有用户信息。我如何去设置这个,所以我不会遇到这个问题,如果有人好奇我使用$_SESSION这个登录系统。
根据GolezTrol提供的评论,我想出了这个解决方案。这个解决方案可能有它的问题,如果是这样,我想被告知他们。我所做的是给每个客户端它自己的私钥。(这个密钥是随机生成的,当他们的网站被创建并存储在本地客户端服务器上。客户端无法访问这些文件,因此无法下载或修改这些文件)。然后我将私钥存储在会话中,并检查用户会话中的私钥与他们试图查看的客户端的私钥,如果它们不相同,它将用户带到登录页面并清除他们的会话。(这也会让他们退出自己的仪表板,但我打算这样做,当他们离开页面时,会话就会死亡)
某人可以编辑他们的会话数据以访问另一个客户端的唯一方法是拥有客户端的私钥,并且考虑到他们无法在没有登录的情况下获得私钥,首先,我怀疑我们有问题。