Как запретить несколько авторизаций?

Question

[Сергей]

Создаю браузерную игру на PHP для мобильных телефонов. В игре есть такое понятие, как аккаунт. На этом аккаунте может быть несколько персонажей. Т.е пользователь создает один аккаунт и может с помощью этого аккаунта создавать себе разных персонажей.
Вопрос: Как на PHP можно сделать так, чтобы игрок не смог одновременно играть сразу за двух персонажей? Например, игрок заходит с оперы и с гугл хрома одновременно и шпили-вилит в игре сразу двумя персонажами, а это запрещено.
Собственно, код мне не нужен, хотелось бы услышать способ реализации (как лучше сделать защиту).
Если делать защиту по IP, то игрок может спокойно играть через прокси или с телефона и с компа одновременно. Отпадает.
Значит, нужно привязывать к аккаунту. Сканировать последние заходы за всех персонажей на аккаунте? В общем, я в тупике :(

Answer 1

[Mikhail Osher]

Предположим, что авторизация создают новую сессиию.

Варианта два:
- убивать все сессии по данному пользователю при авторизации (по мне так, предпочительнее)
- при авторизации проверять наличие текущей сессии - вывести сообщение, если она активна

// UPD

Дополнение к комментарию от Сергей :
Я захожу под персонажем1 с клиента1.
Затем захожу под персонажем2 с клиента2.
При авторизации персонажа2 - клиент1 вылетает с ошибкой.

Comments

[Сергей]

И что помешает игроку одновременно сидеть с двух персонажей? Авторизация через куки проходит автоматом и также автоматом будут рисоваться новые сессии, а старые убиваться) Этим способом можно чистить сессии, но врятле защитишь от постов в чат с двух персов...
Может быть по тайм-ауту как-то сделать? Типа между заходами за персонажа делать минут 10 интервала. Если за одного авторизовался, то за другого сможешь только через 10 мин...

Answer 2

[Anton B]

Почему просто нельзя хранить в таблице ID текущего персонажа? То есть просто таблица соответствий account_id-current_character_id. По всему проекту использовать $current_character_id. И получается не важно с какого устройства ты зашел, всегда будет грузиться установленный текущим персонаж и только для него буду выполнятся все действия.

Авторизации тут вообще за уши притянуты.

Answer 3

[Виталий Пухов]

При авторизации генерировать Токен, уникальную строку, писать ее в БД, все запросы обрабатывать только при указании действительного токена, т.к. такой токен будет только 1, потому как старый стирается при новой авторизации проблема становится не актуальной

Comments

[Сергей]

Не очень интересный вариант. Допустим, сейчас я сижу на работе с компа и мне там сгенерился токен. Потом я закончил работу и решил зайти с телефона, а мне тут бац - авторизация. Каждый раз вводить логин и пароль? А если делать через куку, то тут никакой защиты не будет. Точно также автоматом прошла авторизация, сгенерился токен, пошел подрался в игре и тут же можешь тоже самое сделать за другого персонажа. Можно даже в режиме онлайн с двух персов сидеть - токены просто будут перезаписываться постоянно и всё)

[Виталий Пухов]

Сергей: ок, в таком случае привызывать токен к персонажу, то есть при выборе персонажа токены с остальных сбрасываются и привязывается к одному конкретному персонажу, если войти с другого устройства старый токен отвалится и персонажем пользоваться не получится, придется входить персонажем еще раз, чтобы слишком часто не переключались можно сделать поле с датой последнего получения токена и если токены переключаются слишком часто блокировать пользователя за читерство.