Hallo Forum,

Ich betreibe eine php/mysql Seite mit User-Passwort-Zugängen.
Hierbei wird beim Login der Username und das Passwort geprüft, eine Session gestartet und anschließend bei jedem Seitenzugriff der Datensatz dieses Users unter Vorliegen bestimmter Bedingungen upgedatet.

Nun möchte ich, dass ein User seinen Account nicht mit einem weiteren User teilen kann. Dass das ohne Hardware nicht 100% möglich sein wird, ist mir klar. Deshalb beschränke ich mich mal darauf, dass die beiden User zumindest nicht gleichzeitig online sein dürfen.

Und hier entsteht der Zielkonflikt. Je kleiner ich die Zeit bemesse, innerhalb derer ich bestimme, dass eine Session-ID sich nicht ändern darf, desto fehlerfreier läuft auch ein Rechnerwechsel, der ja erlaubt sein muss. Oder ein Schließen des Browsers und sofortiges Wiedereinloggen. Allerdings werde ich bei entsprechend gering bemessenen Zeitspannen eben auch vermutlich selten bis niemals ein Accountsharing erkennen.

Hat jemand hier eine gute Idee, der diesen Zielkonflikt mindern kann?

Grüße, Tobi