| Auth::removeUser() (Previous) | (Next) Auth::setAllowLogin() | ||||
| |
|||||
|
|||||
Auth::setAdvancedSecurity()
説明
高度なセキュリティ機能を有効にし、中間者攻撃 (man in the middle attack) やセッションハイジャックを困難にします。この関数の機能の中には、 クッキーや Javascript をブラウザ側で有効にする必要があるものもあります。
以下のセキュリティ機能が有効になります。
クライアントの IP アドレスや User-Agent ヘッダの変更が検出されると、 ユーザをログアウトさせます。
各クライアントからのリクエストに対して、特別な一意のクッキーをクライアントに送信します。 次回のリクエスト時に、クライアントがそのクッキーを持っている必要があります。 このクッキーは、リクエストのたびに毎回変更されます。 もしクライアントが正しいクッキーを持っていなければ、ログアウトさせます。
デフォルトのログイン画面で、チャレンジレスポンス方式を有効にします。 ユーザのパスワードは、Javascript でハッシュしてからサーバに送信されます。 これにより、パスワード盗聴ツールなどでパスワードが盗まれることを防ぎます。 パスワードはランダムなキーを使用してハッシュされるので、md5 ハッシュが ブルートフォース式のクラッキングの被害にあうことはありません。 これは、チャレンジレスポンス方式のパスワード認証をサポートしている ストレージコンテナでのみ使用可能です。現在は DB、MDB および MDB2 コンテナだけが md5 およびクリアテキストのパスワードをサポートしています。
注意 このメソッドは 1.3.0 以降で使用可能です。
| Auth::removeUser() (Previous) | (Next) Auth::setAllowLogin() | ||||||||
| |
|||||||||
|
|||||||||