Hallo,

Hi,

1.) Authentication-Header,

Der Client muss jeweils dazu bewegt werden, sie mitzuliefern (1. entfällt, ist aber nur mit Servermodul möglich; [...]

Wieso entfällt 1.?

äh, sorry, ich hab mich missverständlich ausgedrückt: _Bei_ 1. entfällt das Muss, den Client dazu zu bewegen, weil er es bereits von sich aus tut (oder überhaupt nicht kann).

"Von sich aus" macht das der Cleint auch bei Cookies. Und für beide Möglichkeiten (Cookies und Credentials) gibt es Schalter, die das erlauben, unterdrücken, etc.

Mit "Cookie-Sessions" wird doch auch auf jeder Seite geprüft, ob die (logische) Verbindung noch besteht, also der Cookie noch authentisch ist.

Nö, der Client sendet den Cookie schlicht und ergreifend zurück, sofern er noch gültig ist und der Request im für den Cookie gültigen Bereich stattfindet.

Das entbindet Dich aber nicht von der Pflicht, das Eintreffen eines passenden Cookies am Server VOR jedem Sessionstart der Seite zu überprüfen. Also erst schauen, ob in $_COOKIE ein passender Cookie drin steht, und dann erst session_start() aufrufen. Sonst würde PHP für Dich eine neue Sessionnummer erzeugen, eine neue Sessiondatei anlegen und einen neuen (NICHT: update des alten) Cookie an den Client versenden.

Liebe Grüße aus http://www.braunschweig.de

Tom