Hi!

Insbesondere fällt mir der Widerspruch auf, der in Andreas' Argumentation liegt. Einerseits will er einen Logout hinkriegen, damit hinterher keiner anderer User mit demselben Browser mehr reinkommt. Andererseits ist der Unique Realm für ihn angeblich ein Problem, weil sich Browser dann die Anmeldedaten nicht mehr speichern können.

Ja, ich will dem User die Möglichkeit(!) bieten sich aus der Anwendung auszuloggen, so dass man mit dem Browserfenster ohne Eingabe der Benutzerdaten nichts mehr anfangen kann. Auf der anderen Seite will ich Benutzern die Möglichkeit(!) bieten, Zugangsdaten bequem abzuspeichern. Du darfst nicht beides direkt miteinander in Verbindung bringen, User A sitzt alleine im Büro sperrt wenn er geht die Tastatur mit Fingerabdruckscanner, User B sitzt in einem Großraumbüro und teilt sich ein Notebook mit der halben Abteilung...
User A hat sich eine teure Tastatur gekauft um sich nicht allew Passwörter merken zu müssen... udn speichert die gerne ab.
User B muss sich nachdem er mit einer Anwendung gearbeitet hat immer sofort abmelden, damit niemand anders Zugriff bekommt.

beide haben verschiedene Interessen, aber vielleicht verwenden beide meine Software, also muss die Softwar beide zufrieden stellen können.

Und ja, User A sollte grunsätzlich kein Passwörter speichern,  udn ja, User B könnte nauch eben das Fenster schließen, nur ist es nicht meine Aufgabe alle Welt zu erklären wie ein Computer und wie das Internet funktioniert bzw. alle entsprechend meinen Vorgaben zu erziehen. Entweder die Software kann das was die User wollen, oder eben nicht. User überzeugen geht nzur bis zu einem gewissen Grad. (Und HTTP-AUTH ist sicher nicht die einzige "Front" an der man zu kämpfen hat da gibt es wichtigeres...)

Diese ganze Geschichte mit den gespeicherten Passwörtern ist aber wirklich nur ein Benutzeraufklärungsproblem. Wer nämlich die Passwortspeicherfunktion seines Browsers verwendet (und das geht sowohl für Formulare als auch für HTTP-Auth), der birgt noch ein wesentlich höheres Risiko, als derjenige, der nach dem Nicht-wirklich-Logout eines normalen HTTP-Auth seinen Browser nicht schließt.

Es kommt immer drauf an wer der "Jemand" ist. Beim einen ist das Speichern unverantwortlich, beim anderen nicht so schlimm, selbiges gilt fürs ausloggen.

Insofern versucht Andreas hier, mit aufwendigsten technischen Mitteln menschliche Probleme zu lösen, die technisch nicht lösbar sind.

Wieso verwenden dann andere Entwickler überhaupt die Session-Login Variante wenn das ganez so einfach mal eben "zwischenmenschlich" lösbar ist? Übrigens kann man eingegeben Zugangdaten in HTML-Formularen ebenfals speichern.

Ich wollte das eigentlich weniger grundsätzlich diskutieren, sondern ob das technisch mit einer HTML-Formular/Session Lösung ebenbürtig ist . Es sind vielleicht 10 Zeilen Code mehr, es ist eben ein alternativer Weg dasselbe zu erreichen, weil es eben das HTTP-Auth Fenster sein sollte. Die Frage ist nur - habe ich dasselbe erreicht?

Grüße
Andreas