我遇到的可能无法解决的问题如下:
我的一个客户是一个拥有 1,500 多名用户的大型组织,分布在 7-8 个不同的地点。该应用程序是基于 Kohana v3.0 框架构建的 PHP 应用程序。该组织位于 ISP 级别的代理过滤服务器后面。每个位置都有一个主要的公共(public) IP 地址,该地址通过代理汇集到网络。每个用户都有一台由雇主发放的 Mac 或 Windows 工作站。
他们遇到的似乎是 cookie 冲突。示例:一个用户在他们的工作站登录,然后另一个用户从同一位置、不同的工作站、相同的操作系统和浏览器类型登录。第二个用户通过接收与第一个用户匹配的新生成的 cookie( token )来接收第一个用户的事件 session 。这似乎只与“authautologin”cookie 有关(在登录屏幕上启用记住我复选框时设置),但我对从代理缓存的选项保持开放(我无法证明代理正在缓存)。
由于网络设置,服务器会看到数百名用户使用相同的用户代理从相同的 IP 地址登录。我最初的想法是,Kohana v3 生成浏览器(用户代理)独有的 cookie 的方式对于这个真实世界的应用程序来说不够独特。
有没有人遇到过这样的事情?在 cookie 和 session 生成中应该采取什么适当的行动?在数据库中管理 cookie 和事件 session 会更好吗?
Kohana 模块:Jelly-Auth、Jelly 和 Auth
服务器:Apache/2.2.9 (Debian) mod_fastcgi/2.4.6 mod_jk/1.2.26 PHP/5.2.6-1+lenny8 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g
已知浏览器:IE 8 和 9、Firefox(操作系统和 Win)和 Safari(操作系统)
最佳答案
这只是一个想法,但是(取决于您的 Debian 和 PHP 版本)存在/曾经是 PHP session 的错误。我建议你尝试什么:
- 检查this link - 这可能与您的问题无关,但值得一试
- 切换到数据库驱动程序 - 我认为这将解决所有问题的可能性为 90%
- 在不同的 Debian 服务器上进行测试 - 虽然这可能不容易完成
关于php - 保护 Cookie 和 session ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8562683/