- PR -

二重ログオンについて

1
投稿者投稿内容
ハヤ
会議室デビュー日: 2004/06/10
投稿数: 12
投稿日時: 2004-06-10 13:54
はじめて投稿します。

只今サーブレットを使用したウェブアプリケーションの開発をしております。
どのサイトを見てもだいたい二重ログオンは不可となっているのを見かけますが
二重ログオンを許可すると、どのような不具合が想定されるのでしょうか?
どなたかご存知の方がおられましたらご教授下さい。

よろしくお願いします。
キルシェ
常連さん
会議室デビュー日: 2004/03/25
投稿数: 26
投稿日時: 2004-06-10 17:31
なんとなくですが・・・。

課金処理が絡んでいると、二重ログインさせないんじゃないかなと思います。

普通、規約では第三者に公開しないこととなっていると思いますが、
多重ログイン可能ならば、複数のアクセス全てが契約者のアクセスなのか、
それともその人のアカウントを知っている他の人も不正にアクセスして
いるのか、システムからは判断できないのではないかと思います。

二重ログインさせない場合は、契約者当人が同時に複数ログインしてシステムを
使うことはできませんが、少なくとも第三者が同時に不正使用することはないかな…と。

#契約者が使っていないときの不正使用は防げませんけど。
#ってことは、課金契約=システムリソースを1アカウント分使える権利?
##と考えると、システムリソースの目安が計算しやすくなります。

----(補足)----
もうすこし具体的にしてみます。

・ショッピングカート
ショッピングカートでは、利用者にショッピングを「してほしい」ので、
二重ログインできない場合は…

1.ユーザID送信
2.今のセッションが、残っているセッションと違う
3.二重ログインエラー!で操作できない
4.なんだこのカートシステムは!!

となって顧客の次の利用は見込めませんので、却下の方向で。
#もっとも、こんな場合はセッション情報とログイン情報を分離するべきですが割愛
##二回目のログイン要求は二重ログインではなくて既存のログイン情報への接続とする

・学術計算システムなど
重要な学術計算をさせるシステムなので、システムリソースを一人でいくつも
占有されては「困ります」。ですので二重ログインできてしまうと…

1.ユーザID送信
2.今のセッションが、残っているセッションと違う
3.二重ログインOK
4.…貴重なシステムリソースを二人分も占有するとはけしからん!!

となって、管理者は利用者に厳重注意…。

という感じではないでしょうか。
主体が利用者か管理者かで変わってくるのかなと。

…何を管理したいのか、と言い換えた方が良いですね。

[ メッセージ編集済み 編集者: キルシェ 編集日時 2004-06-15 20:45 ]

[ メッセージ編集済み 編集者: キルシェ 編集日時 2004-06-16 12:09 ]
ハヤ
会議室デビュー日: 2004/06/10
投稿数: 12
投稿日時: 2004-06-10 18:24
キルシェさん有難うございます。

そうですね。たしかにそんな感じもしますね。
今回はイントラの開発で社員の方が使うそうなのですが
同じ人間が同一端末もしくは別端末で
自分のIDを使用して二重ログインを許可するかという点で問題が浮上しました。
「特に理由がないなら許可させて」と言われているのですが
何分今までWeb開発をやってきて二重ログインをさせてきたケースがなかったので。。。
で、認証系を扱ってきた場合はすべて二重ログインを許可しないというのが
常識というか、あたりまえというかそんな感じがしてたので
実際理由をといわれて困っていたところでした・・・

もう少し自分で調べてみようとおもいます。
有難うございました。
Cluster
ぬし
会議室デビュー日: 2003/03/06
投稿数: 289
お住まい・勤務地: 大阪
投稿日時: 2004-06-10 19:47
私は逆に、2重ログインチェックなんてやったことないです。
問題があるとすれば、ユーザ単位でトランザクション的なデータ(例えばショッピングカートとか)をサーバ側で保持している場合とかだと思いますが、それってあんまり一般的ではない気がしますし。
(普通、そういうデータってセッション単位で保持しますよね?)
1

スキルアップ/キャリアアップ(JOB@IT)