Здравствуйте. Использую advanced шаблон в своем проекте. Имею 2 таблицы пользователей - users и admin_users для frontend и backend соответственно. Так же использую авторизацию по сессии (без auth_key и access_token). Заметил проблему, если авторизоваться на frontend (допустим с id = 3), то можно скопировать имя своей сессии, вставить на backend части и сайт начнет думать, что я авторизован также на backend с id = 3.
Как можно избежать этой проблемы?
Сессии frontend&backend в advanced template
Re: Сессии frontend&backend в advanced template
Настроить разные хранилища для сессии фронтенда и бэкенда в конфигах.
http://www.yiiframework.com/wiki/767/yi ... -template/
http://www.yiiframework.com/wiki/767/yi ... -template/
Re: Сессии frontend&backend в advanced template
Это меняет имена кук и предотвращает только автоматическую авторизацию. Мой вопрос был про то, что можно взять значение id сессии на frontend, ввести его вручную на backend и фреймворк не заметит подмены. Есть ли какое-то решение для этого?
Re: Сессии frontend&backend в advanced template
Если хранить файлы сессий в разных местах:
Код: Выделить всё
'savePath' => '/tmp/backend',
Код: Выделить всё
'savePath' => '/tmp/frontend',
Re: Сессии frontend&backend в advanced template
Ну я это и имел в виду ) Написал же - в разных папках сессию хранить.