Tom: Alle offenen Session anschauen

Beitrag lesen

SELF-Forum

Alle offenen Session anschauen

Tom Homepage des Autors
Informationen zu den Bewertungsregeln

Hello Marco,

ich ahbe mit den Thread bis "Bruno... 01.06.2007, 21:59" mal durchgelesen und muss feststellen, dass außer wahsaga niemand anseitsweise sinnvolle Hinweise gegeben hat.

Eine Session ist ein Mechanismus zur leichten Wieder-Identifikatione eines Benutzers. Um den Benutzer zu authentifizieren bedarf es schon mal einer eigenen auf der Session aufgesetzten oder ihr vorausgehenden Aktion. Das Ergebnis kann in der Session gespeichert werden, damit von nun an der Client wiedererkannt wird. Die Sicherheit beruht dabei ausschließlich auf einem genügende komplizierten (eindimensionalen) Schlüssel und der Zeit, in der er gültig ist. Je länger die Gültigkeitsdauer, desto geringer wird die "Sicherheit".

Um nun festzustellen, wer "angemeldet" ist, müsste man also wissen, wer einen gültigen Schlüssel bezogen hat, und ihn zu benutzen gedenkt, ihn also auch noch nicht weggeworfen hat. Da Du vom Server aus bei verbindungslosen Architekturen keine gezielte Verbindung mit dem Client aufnehmen kannst, kannst Du also nicht feststellen, ob der Client den Schlüssel noch kennt. Du kannst nur feststellen, ob er am Server noch gültig ist.

Allerdings hat ein "Login" eigentlich auch nichts direkt mit der Session zu tun. Eine Session wird benutzt, um das "Login" zu registrieren, aber sie ist kein Garant für ein "Login".

Das "Loginsystem" sollte von Dir selbst auf die Session aufgesetzt werden. Bei jedem Zugriff des Users schaust Du in der passenden Datenbantabelle, ob für diesen Client (in diesem Fall über die Session identifiziert) eine Berechtigung vorliegt. In der Tabelle steht dann, der User hat die Rechte $rights, hat sich am $anmeldezeitpunkt angemeldet, hat seine Session das letze Mal um $lastuse benutzt und ist von Dir seit dem nicht $gesperrt worden.

Nun brauchst Du nur noch die Tabelle abzufragen.
Die Offenzeit für die Nutzung kannst Du selber bestimmen, vorausgestzt, die Session hält lange genug. Die Offenzeit der Session sollte also immer ausreichend lange sein gegenüber der von dir erlaubten Nutzungsdauer ohne Request (Offenzeit). Die Session ist nur das Trägersystem und sollte nicht zur Feststellung, ob angemeldet oder nicht missbraucht werden.

Harzliche Grüße vom Berg
http://www.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau

Beitrag melden
Informationen zu den Bewertungsregeln