Рейтинг: 8.6706  
Новая
Предложил Пользователь 8981 12.03.2020 04:53:58

Прекращение авторизации на разных доменах при хранении сессий в БД

Идея предложена после отказа поддержки считать ситуацию багом.
Если включено хранение сессий пользователей в БД, а не в файлах, то корректно работает распространение авторизации на разных доменах и поддоменах. При этом прекращение авторизации работает только в рамках домена.
На примере. Есть сайт, который работает на 2 доменах - site1.ru и site2.ru. При этом для регионов используются поддомены, т.е. в итоге есть множество версий сайта - gorod1.site1.ru, gorod2.site1.ru, gorod3.site2.ru и т.д. Прекращение авторизации распространяется лишь на поддомены того домена, где выполнили разавторизацию. На втором домене и его поддоменах авторизация сохраняется.
Это очевидная потенциальная дыра в безопасности, но сейчас "так было заложено в логику работы продукта".
Нужно доработать механизм прекращения авторизации пользователя.