セッション認証の仕様を変更しようかと思います
現在のセッション認証の仕様は、
セッションは全ユーザー中でユニークであり、セッションIDでユーザーを識別してIPアドレスが一致すれば認証可能ですが、
セッションIDだけでなくユーザーIDもサーバーに送信させ、ユーザーIDで識別してセッションIDの一致を確認する仕様に変更しようか検討中です。
セッションIDはパスワードの代わりではなくユーザーIDの代わりのユーザー識別用と考えて認証システムを作ったためこのような仕様になっていますが、
ユーザーIDを常に送信させて識別は常にユーザーIDを使用すればセッションIDをユニークにする必要はなくなり処理を簡単にできるので仕様を変更しようか検討中です。
変更を行う際はサーバーは稼働させたまま行いますが、
更新した後に一度再ログインが必要になるかもしれません。
セッションは全ユーザー中でユニークであり、セッションIDでユーザーを識別してIPアドレスが一致すれば認証可能ですが、
セッションIDだけでなくユーザーIDもサーバーに送信させ、ユーザーIDで識別してセッションIDの一致を確認する仕様に変更しようか検討中です。
セッションIDはパスワードの代わりではなくユーザーIDの代わりのユーザー識別用と考えて認証システムを作ったためこのような仕様になっていますが、
ユーザーIDを常に送信させて識別は常にユーザーIDを使用すればセッションIDをユニークにする必要はなくなり処理を簡単にできるので仕様を変更しようか検討中です。
変更を行う際はサーバーは稼働させたまま行いますが、
更新した後に一度再ログインが必要になるかもしれません。