Help us understand the problem. What is going on with this article?

[小ネタ] セッションの一括無効化

More than 3 years have passed since last update.

パスワード漏洩やブルートフォース攻撃などに対処するため、あるアカウントでログインしている全てのデバイスのセッションを無効化できなければいけない。多くの Web フレームワークはリクエストのあったセッションの無効化は対応しているが関連するセッションまでは関知しない。以下のような実装を行うことでフレームワークのソースを改修しなくても対処することが出来る。

  1. セッション発行時に日時情報を付加しておく。
  2. アカウントにセッション有効日時を付加する。
  3. パスワードが変更されたタイミングなどでセッション有効日時に現在時刻を設定。
  4. リクエストのあったセッションがその有効日時より前に生成されたものなら無効なセッション。
torao@github
Sr. Software Engineer. Distributed System, Blockchain, Machine Learning, NLP, Web with Scala/Java/C/C++/Go/Python/JS. TIPメモや時事ネタのようなもの置き場。リファイン型(Wiki スタイル)のアウトプットを取るので投稿後何度も修正します。
https://hazm.at/mox/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away