Vấn đề tôi đang gặp phải, có thể không giải quyết được, như sau:Bảo mật cookie và phiên
Tôi có một khách hàng lớn với hơn 1.500 người dùng tại 7-8 địa điểm khác nhau. Ứng dụng này là một ứng dụng PHP được xây dựng trên khung công tác Kohana v3.0. Tổ chức này ngồi đằng sau một máy chủ lọc proxy ở cấp ISP. Mỗi địa điểm có một địa chỉ IP công khai chính mà các kênh thông qua proxy sau đó đến web. Mỗi người dùng có một máy trạm Mac hoặc Windows do người sử dụng lao động cấp.
Những gì họ đang gặp có vẻ là xung đột cookie. Ví dụ: Một người dùng đăng nhập vào máy trạm của họ sau đó người dùng khác đăng nhập từ cùng một vị trí, máy trạm khác nhau, với cùng một hệ điều hành và loại trình duyệt. Người dùng thứ hai nhận được phiên hoạt động của người dùng đầu tiên bằng cách nhận được một cookie (mã thông báo) mới được tạo ra khớp với người dùng đầu tiên. Điều này dường như chỉ liên quan đến cookie 'authautologin' (được đặt khi hộp kiểm nhớ tôi tham gia trên màn hình đăng nhập), nhưng tôi vẫn giữ các tùy chọn của mình mở để lưu vào bộ nhớ đệm từ proxy (Tôi không thể chứng minh rằng proxy đang được lưu vào bộ đệm).
Do thiết lập mạng, máy chủ thấy hàng trăm người dùng đăng nhập từ cùng một địa chỉ IP với cùng một tác nhân người dùng. Ý tưởng ban đầu của tôi là cách tạo cookie của Kohana v3 là duy nhất cho trình duyệt (tác nhân người dùng) không phải là duy nhất đủ cho ứng dụng thực tế này.
Có ai từng trải nghiệm bất cứ điều gì như thế này không? Và những hành động thích hợp để thực hiện việc tạo cookie và phiên là gì? Việc quản lý cookie và các phiên hoạt động trong cơ sở dữ liệu có tốt hơn không?
Kohana Modules: Jelly-Auth, Jelly, và Auth
Server: Apache/2.2.9 (Debian) mod_fastcgi/2.4.6 mod_jk/1.2.26 PHP/5.2.6-1 + lenny8 với Suhosin-patch mod_ssl/2.2.9 OpenSSL/0.9.8g
trình duyệt biết: IE 8 & 9, Firefox (OS và Win) và Safari (OS)
+1: Câu hỏi được đặt cẩn thận - với các chi tiết tốt có sẵn. Làm tốt. –
Tôi đồng ý, nhưng đây có phải là vấn đề với proxy áp dụng cho bất kỳ dịch vụ nào sử dụng cookie đăng nhập tự động không? –
@Pekka đã là suy nghĩ/thất vọng của tôi trong tuần qua. Sau đó, sau khi hỏi nhân viên CNTT của họ, tôi đã học được rằng mục đích của bộ lọc proxy là chặn các trang web như Gmail, Facebook, Twitter, v.v ... Vì vậy, tôi tin rằng họ không có quyền truy cập vào các trang web bên ngoài mạng nơi họ đăng nhập. Ứng dụng này rất có thể là ứng dụng duy nhất có thể được cấp một cookie đăng nhập tự động nằm ngoài mạng. – ixasilent