Hi Christian, Analpha und Andreas,

Natürlich. Aber Thomas (und mir) ging es um folgendes: Sessions dienen dazu, dass man Informationen über einen Besucher speichern kann und diese über mehrere Requests hinweg nutzen kann. Sessions können, wie in Deinem Fall _auch_ dazu benutzt werden, einen Login zu realisieren, aber auch für anderweitige Sachen, z.B. Usertracking. Sessions alleine bieten gar keine Sicherheit, jemand muss sich schon Gedanken über ein Sicherheitskonzept gemacht haben.

Genau das ist der entscheidende Punkt. Meiner Meinung nach darf die Session eben erst dann gestartet, reaktiviert oder abgewiesen werden, wenn die Authentifikation stattgefunden hat. Es gibt also nur für valide User eine Session, wenn sie bereits angemeldet sind. Aber auch das bedeutet nicht, dass eine Session dann die "Anmeldung weitertragen" kann, es sind _zwei_ Mechanismen die zur Sicherheit _getrennt_ laufen sollten. Gut, mann kann in der Session einen _Schlüssel_ auf den Auth-Datensatz in der DB parken, am besten mit einer zweiten _eindeutig_ erzeugten ID, aber mehr sollte man das ganze nicht verzahnen. Und: Es muss immer sichergestellt sein, dass bei Zweifeln eher abgebrochen wird, als auf Verdacht weiter zu machen.

Fabian