我们目前使用的是一个自定义登录系统,它在一个站点的数据库中设置一个哈希,然后当用户在域和子域之间传输时,它会将他们登录。它并不总是将用户登录,所以他们点击登录链接/按钮,它会带他们登录,如果他们有会话,它会加载它,否则会显示登录页面。
我们希望摆脱这种状况,使用更好的东西。php有session_set_cookie_params,我们想知道这是否安全?
session_set_cookie_params(3600, "/", ".example.com");
如果这不是跨多个域使用会话的好方法,那么有什么更好的方法呢?
我们也有一些子域使用自己的登录系统,其中同一用户在该系统上有不同的用户名/密码,这/那会有问题吗?我们认为,两个不同的人可能有相同的会话id,将两个不同人登录到同一帐户,因为他们管理自己的会话。
这是一种不错的方法,但您必须考虑,如果您希望参与同一会话的所有域/子域不在同一服务器上或位于不同的应用程序中,则需要提供一些通用的后端会话存储机制,所有应用程序都可以访问该机制以获取会话数据。
就处理多个登录而言,您可能需要一种逻辑方式将登录链接在一起,这样您就可以理解一个登录下的有效会话可以转移到另一个域上的另一个登录。这确实是您最大的安全问题,应该通过实现单一登录机制来解决。