alestro
@alestro

Безопасность сессий. Как быть с regenerate_id?

Собственно сабж заключается в следующем: как завещал php.net использую временную метку для определения просроченных сессий. Реализовано следующим образом при старте сессии проверяю есть ли метка и вышло ли время через которое следует удалить данную сессию, если да, то сессия неактивная, следовательно доступа к ней быть не должно, но кто-то пытается его получить. Далее я разрушаю эту сессию и побуждаю соответствующее событие. Проверяю, если сессия содержала флаг авторизации, то разлогиниваю все активные сессии для данного пользователя. Процесс пометки сессии как устаревшей происходит после вызова вызова session_regenerate_id(). В итоге получаю активную сессию, которую отслеживаю и собственно устаревшую, которую и помечаю соответствующим образом. Так вот, как указывал выше, рекомендуют периодически вызывать session_regenerate_id(), допустим каждые 30 минут. Насколько это оправданно? Стоит ли делать так или можно ограничится генерацией только перед или после определенных операций (log in\out). Если нет, то как лучше реализовать. Навесить вызов $session->regenerate() по крону или через консольное приложение?
  • Вопрос задан
  • 248 просмотров
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы