Tach,

Jo, also, der Benutzer hat sich jetzt mal angemeldet, das heißt, die HTTP-Authentifizierung hat wunderbar stattgefunden und der Benutzer ist ... naja eben angemeldet halt. Nun meine Frage: Wo stellt man die Zeit an, nach der die "Session" ungültig sein soll? Also ich meine, wenn ich mich jetzt beim Selfforum /my/-Bereich anmelde, und in einer halben stunde erst wiederkomme, dann werde ich gerade "erneut" gefragt, wenn ich zu ...de/my/ gehe.

es gibt keine Session; http baut im Prinzip für jede Resource eine neue Verbindung auf und schließt sie dann wieder. Die Authentifizierung wird deswegen jedesmal neu ausgehandelt, die Browser merken sich jedoch eine Anmeldung solange sie nicht geschlossen werden und schicken solange jedesmal die selben Daten wieder mit, außer sie erhalten irgendwann die Antwort 403, woraufhin sie die eingegebenen Daten verwerfen und den Benutzer erneut fragen.

Was spricht nun gegen die hochstwahrscheinliche Tatsache, dass der Browser bestimmt, wie lange man noch beim Server "angemeldet" ist, ist, dass man sich mal erstens einen eigenen browser zusammenprogrammieren könnte (man bräuchte auch nur einfach ein bisschen am mozilla rumwerkeln ;), und schon könnte man unendlich lange "unangemeldet" dort rumwerkeln, eine Passwortauthentifizierung hätte also in sofern keien sinn mehr, wenn nach dem Benutzer xy der Benutzer za noch auf dem server surfen kann, was ja nicht beabsichtigt ist.

Das ist jedoch ein Problem des Benutzers xy, wenn er jemand anderen seine Benutzereinstellungen nutzen läßt. Darum brauchst du dir aber sowieso keine Sorgen machen, denn dann könnte za auch auf das Login zugreifen, weil xy z.B. die Daten im Browser gespeichert hat.

mfg
Woodfighter