Hi,

'Rechtegültigkeit'

Du versuchst doch nicht etwa eine vierte Entitaet dem Konzept beizufuegen?

Rechte können entweder festgestellt werden, wenn ein Nutzer sich authentifiziert und in die Session (Sitzung) zurückgetragen werden (dort eingetragen werden) oder aber bei jeder Anfrage erneut festgestellt werden und _nicht_ in die Session eingetragen werden. Zweiteres Verfahren halte ich für besser, da man so bei langanhaltenden Sessions die Rechte auch während der Sitzung verändern kann.

Zweites Verfahren ist wesentlich besser. (Ist ja genauso mit dem Session-Timeout, das auch nicht in die Session selbst geschrieben werden sollte. Stattdessen sollte beim Datenzugriff ueberprueft werden, ob die Sitzung ausgetimt ist.)

Die Auswirkungen bei gekürzten Rechten könnten dann aber sogar wieder bis auf die Sessiongültigkeit zurückschlagen.

Wie meinst Du das?

Gruss,
Ludger