GETメソッドのためにIDとパスワードを含んだURLがブラウザの履歴に残ってしまうので、これを暗号化して隠蔽したいのですが、送信元サーバーで暗号化して受信サーバーで復号化するのに良い方法を紹介しているサイトはないでしょうか?
PHPのopenssl_public_encrypt関数とかは利用不可なので、独自に関数を作成する方向で検討しています。
サイトの紹介ではなくてアイデアの提供などでも構いません。よろしくお願いします。
No.1
3344
440
40pt
可能であれば共通でアクセスできるDBを用意し、そちらにログイン情報を保持してしまう方がスマートに思います。
DB内でログイン情報を一意に特定できるID(セッションIDのような感じで)を生成し、それをクエリで受け渡せば履歴に残っても問題ありません。
もちろん、その情報には有効期間はあったほうがよいですが。
DBまで用意するのが難しければ、PHPのセッション情報を保存しているディレクトリを共有してしまうのもひとつの手かもしれません。
この場合、PHPのセッションIDをそのまま受け渡すだけで済みます。
No.1
3344440
ここでベストアンサー
40pt
可能であれば共通でアクセスできるDBを用意し、そちらにログイン情報を保持してしまう方がスマートに思います。
DB内でログイン情報を一意に特定できるID(セッションIDのような感じで)を生成し、それをクエリで受け渡せば履歴に残っても問題ありません。
もちろん、その情報には有効期間はあったほうがよいですが。
DBまで用意するのが難しければ、PHPのセッション情報を保存しているディレクトリを共有してしまうのもひとつの手かもしれません。
この場合、PHPのセッションIDをそのまま受け渡すだけで済みます。
なるほど。
そういう考え方もありますね。
とても勉強になりました。
ありがとうございました。
No.2
311
30pt
mcrypt関数やPEARのCryptを使ってはいかがでしょうか
ありがとうございます。
こういう関数があったのですね。
イメージしていたものに近いような気がします。
No.3
422
20pt
1番のb-windさんのやり方が一般的で、安全です。
暗号化したものを復元できるようでは、他の誰かも復元できてしまうからです。
ログイン情報を一意に特定できるIDはmd5(ハッシュ)を使って復元できないものにしたほうがいいと思います。
仰るとおりですね。
アドバイスありがとうございます。
非常に勉強になりました。
7
7
1
4
2
なるほど。
そういう考え方もありますね。
とても勉強になりました。
ありがとうございました。