我遇到的问题可能无法解决,如下所示:
我有一个客户,它是一个由 1,500 多名用户组成的大型组织,分布在 7-8 个不同的地点。该应用程序是基于 Kohana v3.0 框架构建的 PHP 应用程序。该组织位于 ISP 级别的代理过滤服务器后面。每个位置都有一个主要的公共 IP 地址,该地址通过代理汇集到网络。每个用户都有一个由雇主发放的 Mac 或 Windows 工作站。
他们正在经历的似乎是 cookie 冲突。示例:一个用户在他们的工作站登录,然后另一个用户从同一位置、不同的工作站、使用相同的操作系统和浏览器类型登录。第二用户通过接收与第一用户匹配的新生成的cookie(令牌)来接收第一用户的活动会话。这似乎只与 'authautologin' cookie 相关(在登录屏幕上启用记住我复选框时设置),但我保持我的选项开放以从代理缓存(我无法证明代理正在缓存中)。
由于网络设置,服务器看到数百个用户使用相同的用户代理从相同的 IP 地址登录。我最初的想法是,Kohana v3 生成浏览器(用户代理)特有的 cookie 的方式对于这个现实世界的应用程序来说不够独特。
有没有人经历过这样的事情?在 cookie 和会话生成中应该采取哪些适当的措施?在数据库中管理 cookie 和活动会话会更好吗?
Kohana 模块:Jelly-Auth、Jelly 和 Auth
服务器:Apache/2.2.9 (Debian) mod_fastcgi/2.4.6 mod_jk/1.2.26 PHP/5.2.6-1+lenny8 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g
已知浏览器:IE 8 和 9、Firefox(操作系统和 Win)和 Safari(操作系统)