Hi!

Teil deinem Server mit, dass die Session 2 Wochen halten soll.
Danke für die Antwort. Session 2 Wochen aufrecht erhalten ist generell kritisch. Sessions könnten groß sein, der Server muss diese verwalten. Auch könnte mal ein Neustart erforderlich sein. Für mich also keine Option.

Üblicherweise kommt man als Administrator auch schlecht an die Session-Daten ran. Wenn du einem Benutzer ein Recht entziehst und dieser aber durch eine gültige Session sein Recht gewährt bekommt, kann er noch solange das Recht miss-/gebrauchen, wie die Session gültig ist. Das will man ja nicht. Wenn das Recht weg ist, soll das sofort wirken. Allein eine Session zur Authentifikation und Autorisation zu verwenden, ist auch deshalb schon bedenklich. Bleibt also nur, die Anmeldedaten selbst zu speichern und bei jedem Request zu prüfen. Und ob der Client selbige im Cookie oder einer browsereigenen Passwort-Datenbank ablegt, ist mit vergleichbaren Risiko auf der Clientseite behaftet. (Selbst eine Session-ID macht das nicht besser, die lässt sich auch zur unberechtigten Authentifizierung verwenden.) Wenn das Argument lautet, die Anmeldedaten nicht ungesichert zu übertragen, wäre eine Session-ID genauso betroffen.

Lo!