Hi,

ich habe hier so einen Mix aus Grundsatzdiskussion und Fragen im Detail und bedanke mich schon mal bei jedem, der dies mit konstruktiver Kritik begleitet. Da ich allein arbeite, ist dieses Forum für mich sehr wichtig, um Ideen auszutauschen und Gedanken zu ordnen.

gut.

Ich programmiere Seiten, für die ich mit dem Auftraggeber nach erfolgten Zugriffen abrechne. Wer als Surfer (oder datenpflegender Mitarbeiter) zugreift, hat dann eine Zeiteinheit x, bevor der Abrechnungszähler eins weiterschaltet. Vergleichbar mit dem Minutentakt beim Telefonieren.

Hmm.

Diese Technik ist nur ein Unterpunkt (Frame) beim Webauftritt des Auftraggebers, ich bin also nicht Herr über das Ganze.

Hmm.

Problem bei Sessions:

Wenn ein Besucher die Einstiegsseite erneut von extern aufruft (Klick auf den Link im Menü- Frame), wird eine neue Session-ID vergeben und alle Einstellungen sind verloren.

Du koenntest die Einstellungen an einen bestimmten Nutzer binden (also nicht an die Session natuerlich) => Anmeldevorgang

Es muss aber auch anders gehen: Wenn ich mich bei meinem Datenbank- Programm mysqladmin anmelde (dreimal Cookies verweigert), kann ich in einem anderen Browser- Fenster vollkommen neu einsteigen und bin trotzdem bekannt.

Eine wie auch immer geartete Anmeldung muss erfolgt sein, denn sonst kann ein System seinen Herrn nicht erkennen. Logisch, oder?

Frage:

Welche Möglichkeiten gibt es denn noch, sich gegenüber dem Web-Server zu identifizieren ?

Die IP kenne ich schon, sie gilt aber ja für ein ganzes Firmennetz hinter dem Router.

Die IP zu nutzen ist aber riskant (so riskant wie alles andere mit Cookies oder Javascript). Was spricht denn gegen das uebliche Dreischichten-Konzept mit den Entitaeten "Sitzungen" (fuer die Identifikation), "Rechte" (fuer die Autorisierung) und "Nutzer" (fuer die Authentifikation)?

Gruss,
Ludger