Рейтинг: 6.8902  
Новая
Предложил Статиевский Данила 12.03.2020 04:53:58

Прекращение авторизации на разных доменах при хранении сессий в БД

Идея предложена после отказа поддержки считать ситуацию багом.
Если включено хранение сессий пользователей в БД, а не в файлах, то корректно работает распространение авторизации на разных доменах и поддоменах. При этом прекращение авторизации работает только в рамках домена.
На примере. Есть сайт, который работает на 2 доменах - site1.ru и site2.ru. При этом для регионов используются поддомены, т.е. в итоге есть множество версий сайта - gorod1.site1.ru, gorod2.site1.ru, gorod3.site2.ru и т.д. Прекращение авторизации распространяется лишь на поддомены того домена, где выполнили разавторизацию. На втором домене и его поддоменах авторизация сохраняется.
Это очевидная потенциальная дыра в безопасности, но сейчас "так было заложено в логику работы продукта".
Нужно доработать механизм прекращения авторизации пользователя.
Рейтинг: -0.247  
На голосовании
Предложил Семашко Евгений 25.11.2014 14:56:53

Сессии при отключенных у пользователя куках

При отключенных куках у пользователя перестают работать сессии. Может быть есть смысл делать "пуленепробиваемые" сессии на основе механизмов, указанных в http://habrahabr.ru/post/104725/
Рейтинг: 17.5832  
На голосовании
Предложил Шишкин Алексей 15.04.2014 15:25:31

Показывать пользователям сообщение об окончании сессии для каждого сайта в отдельности

Данная опция в контексте многосайтовости должна быть в настройках сайта, а не главного модуля.
Также не плохо бы предусмотреть шаблоны данного сообщения для каждого сайта.
Рейтинг: 22.9639  
Новая
Предложил Долганин Антон 21.02.2012 17:02:36

При хранении сессий в БД дать возможность убивать сессии пользователей

С механизмом не знаком, но не вижу преград дать такую возможность. Избавит от проблем когда пользователь как бы деактивирован, но висит на сайте.