Moin!

Bei rechten gebe ich dir allerdings recht - da wäre eine jeweilig aktuelle Abfrage sinnvoll.

Beim Loginnamen und beim Passwort auch ;-)

Warum dieses? Das wird sich doch nicht ändern, da es ja eine Information ist, die der User gegeben hat, und die nicht vom Betreiber innerhalb der Session geändert werden kann. Der Username sowieso schon mal gar nicht, und das Passwort ist ebenfalls kein Datum, welches zu ändern in den Aufgabenbereich des Admins fällt. Will man den User wirklich loswerden, entzieht man ihm komplett die Rechte, und er fliegt dadurch aus den sensitiven Bereichen raus.

Aber "Session-ID == Username+Passwort" - der Client übermittelt beim Login einmalig die Credentials, und nachfolgend nur noch die Session-ID, der Server speichert zu der ID die Credentials und gleicht die immer aktuell mit den erforderlichen Rechten ab.

Usernamen und Passwort immer aktuell abzufragen wäre dann doch etwas lästig - bei jedem Seitenaufruf diese Daten neu anzugeben... bäh, so kann doch niemand arbeiten.

- Sven Rautenberg