会員制のページを作るのにApacheの認証もいいのだけど、融通が利かないとか設定が面倒ということで、perlで認証プログラムを作ることにした。

フォームから入力されたIDとパスワードを認証するとかは簡単なのだけど、クッキーに渡すセッションIDで手が止まった。随時変化しながらも本人であることを証明しつつ、セッションの乗っ取りを阻止する。

それだけなのに難しい。

昔のgooメールのようにクッキーにIDとパスワードが生で保存されるようなぬるい認証なら簡単なのに。