Hallo

Die Existenz der Session sollte nicht das Kriterium für den Zugriff bilden.
Die Session sollte man als erstes starten.
Innerhalb der Session kann der User dann um Zugang nachfragen.

Okay bis dahin verstanden so mache ich das eigendl auch das war nur grob.

Die Session sollte man mit einem transienten Cookie führen.

Erklärung?

Nach der Zugangserteilung kann man ggf. zusätzlich noch einen permanenten Cookie verschicken.

Erklärung?

Die Zugangsberechtigung sollte _bei_ _jedem_ _Zugriff_ geprüft werden. Nur das ermöglicht eine zeitnahe Rechteüberwachung.

Hatte ich auch vor!

mfg

Hans