Hallo Tom,

Besser ist es daher, die Rechte _jedes_ Mal aus den aktuellsten Datenquellen zu holen, die es gibt.

Das mag in manchen Fällen richtig sein - verallgemeinern würde ich das aber nicht. In einer von mir geschriebenen Anwendung werden die Rechte einmal pro Session eingelesen - beim Einlogen. Da sich die Rechte sehr selten ändern (meist nur bei einem Update) ist es nicht wirklich sinnvoll bei jedem Request einen Query an die Datenbank abzufeuern (und falls es - wider Erwarten - doch mal nötig sein sollte, gibt es einen Menüpunkt "Rechte einlesen" der die Rechte neu ausliest). Und ja, es ist auch (ziemlich) ausgeschlossen, dass eine Session 10 Tage läuft: nach 30min wird der User zwangs-ausgelogt.

Grüße aus Nürnberg
Tobias