작업중인 사이트의 회원분들께서 모바일에서 자주 로그아웃된다는 보고를 받고 소스코드를 분석해봤습니다.

XE에서 자동로그인 쿠키를 아래와 같이 만들더군요.

$autologin_args->autologin_key = md5(strtolower($user_id).$this->memberInfo->password.$_SERVER['REMOTE_ADDR']);

암호화 과정중 $_SERVER['REMOTE_ADDR'] 접속기기의 IP주소를 포함해서 암호화를 합니다.

그리고 나중에 아래와 같이 저장된 쿠키값과 현재의 쿠키값을 비교하게 됩니다.

모바일 기기와 같이 자주 IP가 변하는 기기에서는 자동로그인이 적용되지 않게 됩니다.

 // Get a key value of auto log-in
$args->autologin_key = $_COOKIE['xeak'];

 // Compare key values based on the information
$key = md5($user_id.$password.$_SERVER['REMOTE_ADDR']);

if($key == $args->autologin_key)

이밖에도 로그인한 상태에서 IP주소가 바뀌면 로그아웃 현상도 발생하고 있습니다.

이 현상은 작업중인 사이트(1.4.5.10)뿐만 아니라 최신버전을 적용하고 있는 XpressEngine홈페이지에서도 발생하는 문제입니다.

보안과 사용자의 편의성.. 모바일에서만큼은 편의성을 중요시해주어야하지 않을까요?? ^^;;

(다양한 사이트들을 보았지만 모바일 환경에서 IP변경으로 로그아웃되는 사이트는 없었습니다.)

일요일 저녁.. 자주 로그아웃이 된다는 끊임없는 회원분들의 불만들을 듣고 주저리 끄적여봤습니다.. ㅠㅠ

PS. XE캠프에서 백성찬님과 영구만세님과 함께 식사했던 (구)닉네임 우암입니다.

    매일 눈팅만하다 이렇게 글 남겨보는것은 첨이네요 ㅎㅎ