- PR -

明示的にログアウトしなければセッションは継続する

«前のページへ 1|2
投稿者投稿内容
kugi
会議室デビュー日: 2001/12/06
投稿数: 3
投稿日時: 2001-12-06 11:29
こんにちは。突然おじゃまします。

>  ユーザの要求をもう少し具体的に書きます。
>  トップページからは5つのメニュー(A〜E)を選択でき、
> A〜Cは認証不要、D、Eはログインが必要です。
> ここでユーザが、トップページ→D→トップページ→A→トップページ→E
> という風に遷移していった場合、最後のメニューEへの遷移時には、
> 既にその前のメニューD遷移時にログイン済みであるので、
> ログイン不要にしなければなりません。

トップページが一個だというのがそもそもの原因のような印象を受けました。
普通「ログイン不要ゾーン」と「ログイン必要ゾーン」に分けて、その上で
各々のゾーンのメニューページを作りませんか?
で、
1.「ログイン不要ゾーン」→「ログイン必要ゾーン」は「ログイン」をする
2.「ログイン必要ゾーン内」での画面遷移は、同一ユーザとみなす
3.「ログイン必要ゾーン」→「ログイン不要ゾーン」は「ログアウト」をする、
(または、「不要ゾーン」遷移により自動でセッションを切って強制的にログアウト)
    
だめですか?


>  システム側から見れば、ログアウトせすに途中で利用者が入れ替わったなんて、
> どうやっても認識できないと思います。

「ログイン」とは何なのか、という概念上の混乱が起こっている気がします。
Junrei
会議室デビュー日: 2001/12/06
投稿数: 7
投稿日時: 2001-12-06 11:50
Ichiroさんのお客さんの要求は、恐らくkugiさんの言う「ログイン不要ゾーン」→「ログイン必要ゾーン」の際の「ログイン」を1度したユーザ(アカウント)は「ログアウト」しない間は再度「ログイン不要ゾーン」→「ログイン必要ゾーン」の移動をしても再度の「ログイン」を不要として欲しいというものなのでしょうね。
さて、ここで考えたいのは以下の2点です。
(Ichiroさんのお客さんも以下の点をお考えなのではないでしょうか?)
1.「ログアウト」せずに席を離れた場合、次の人が前の人のユーザ(アカウント)を使用できてしまうのでセキュリティ的に問題である。
2.同じ人が「ログアウト」せずに別のユーザ(アカウント)になれないか?

ここで1の問題は常識的に考えて、他の皆さんのおっしゃっているようにシステム的に根本的な解決策はないといえるでしょう。
システム的に万全の対策はそれこそ網膜認証など大掛かりになり過ぎて現実的ではないでしょう。
歯止めとして、一定時間アクセスがなければ再度「ログイン」要求するというようにタイムアウト時間を設定するという程度でしょうか?

2の問題はUNIX言うところのsuの機能ですね。
これは、特に問題ないでしょう。

このように、お客さんに対して提案してみてはいかがでしょうか?



[ メッセージ編集済み 編集者: ゆうた 編集日時 2001-12-06 13:23 ]
ふうた
大ベテラン
会議室デビュー日: 2001/08/23
投稿数: 198
お住まい・勤務地: 岡山
投稿日時: 2001-12-06 22:24
もうほとんど結論が出ているようですが、、、
「ログイン後、ログアウトせずにトップメニューに戻り、ログインが必要なメニューで別のユーザとしてログインしようとしたが、ログイン画面が出ない」と「ログインを要するメニューは複数あり、同一ユーザが使用する場合は再ログインを不要としたい」は、矛盾していると思います。
それこそ、しょむさんがおっしゃられるようにカメラでもつけておいて顔認証でもしない限りは同時に達成はできないですよね?
これは、ちょっと考えれば分かると思うので(お客さんもそこまで考えていないと思うので)「そのあたりはどのように考えればよろしいでしょうか?」みたいな感じで、お客さんに仕様を改めて考えさせるような質問をして、お客さんに矛盾があることを認識させるのがよいと思います。

ログアウトが面倒なのであれば、単純にブラウザを閉じるでもいいわけですし・・・
あとは、セションを短くしておいて、席を長時間離れたときにそのままセションが続かないようにするとかの逃げの手は考えられると思います。

ただ、これらは先の矛盾を認識した上での対応だと思うので、まずは仕様について再度考えてもらうところからのように思います。

[ メッセージ編集済み 編集者: ふうた 編集日時 2001-12-06 22:25 ]
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)