Hi,
Allerdings sollte bei jedem Request die Gültigkeit des Accounts überprüft werden und es sollten die aktuellen Rechte geladen werden, wenn man diese nicht sogar bei Abarbeitung des Requests für jede benutzte Funktion einzeln prüft.
Da stellt sich für mich die Frage: Wie sicher sind denn nun eigentlich die Variablen, die ich in einer Session speichere. Sind diese (mit lohnendem Aufwand) manipulierbar?
Angenommen ich lade beim Login diverse Daten als Variablen in die Session, darunter neben Benutzername und login=TRUE auch diverse Berechtigungen aus der Datenbank. Du empfielst dass ich diese Daten bei jedem Seitenaufruf erneut abfragen sollte. Bedeutet das, dass die Session-Variablen manipulierbar und somit alles andere als "sicher" sind?
Um die Sessionsicherheit zu erhöhen, kann man mit jedem Request eine neue Session-ID zuweisen
Geht aber stark zu lasten der Benutzbarkeit. Bringt ja bereits dann Probleme, wenn ein User zwei Tabs parallel laufen lassen will. Uns sei es nur, um kurz nebenbei etwas nachzugucken. Soll es das wert sein? Oder kennt jemand einen Trick beides zu ermöglichen?
Viele Grüße,
Sebastian.