Безопасность веб-архитектуры входа?

Question

Я внедрил логин на сайте (не использовал asp.net default). Когда пользователь вошел в систему, я сохраняю его ip в db. Если он ничего не делает в X минут, его ip удаляется. Всякий раз, когда пользователь пытается ввести ограниченную страницу, я проверяю, находится ли его ip на db. Если так, он может продолжить. Проблема заключается в том, что если вошедший в систему пользователь находится в сети Wi-Fi или в любой другой общей сети, все остальные пользователи будут иметь один и тот же ip, и это плохо. Как я могу решить эту проблему? Куки - лучший ответ?

Answer 1

Как войти в систему? Имя пользователя Пароль? Я предполагаю, что пароль хранится как соленый хеш в базе данных, так почему бы не передать cookie обратно с именем пользователя и хешированным паролем? Всякий раз, когда они пытаются получить доступ к запрещенной зоне, проверьте, что имя пользователя/пароль хешируется вашей базой данных. Удостоверьтесь, что санатизируйте значения cookie, прежде чем проверять их против вашей базы данных, чтобы предотвратить инъекцию. Или, в зависимости от языка, в котором он находится, вы можете использовать отслеживание сеанса.

Answer 2

Я принимаю теги, которые вы используете WebLogic Server для своего решения, хотя ваш комментарий об ASP.net заставляет меня задуматься. (хотя на вопрос не заданы теги ASP)?

Короткий ответ: вы делаете жизнь сложнее, чем она должна быть - если я правильно понимаю вашу проблему - вы хотите, чтобы сеанс бездействия пользователя был отключен после определенного периода бездействия по соображениям безопасности - то вы можете сделать это с помощью конфигурации приложения с параметром сеанса ожидания:

http://download.oracle.com/docs/cd/E13222_01/wls/docs81/webapp/web_xml.html#1017275

Везде, где это возможно, когда ценной бумаги участвуют, я всегда предпочитаю, чтобы избежать прокатки мое собственное решение. Просто не достаточно умный, чтобы доверять ему. :-)

Извините, если я не в своем понимании здесь.