Hello Tom,

»» Session zeitlich begrenzen: Auf jeden Fall. UND Abgelaufene SK's löschen.

besser nicht sofort löschen. SKs sind mMn Wegwerfschlüssel oder werden zumindest über einen weiten Zeitbereich nicht wiederverwendet. Wenn also morgen schon einer damit angedackelt kommt, könnte man nachschauen, ob der Schlüssel bereits verbraucht ist.

Das erhöht die Sicherheit.

Oder eher den Programmieraufwand? Ich kann mir schon denken, worauf Dein berechtigter Einwand abzielt: Dass es niemals gelingen wird, einen auf der Welt absolut einmaligen Sessionkey zu erzeugen.

Grüß mir den Berg,
Hotte