hi,

Also nochmal zum Verständnis:
User betritt Seite entweder mit der normalen URL oder mit einem direktem Link ins Verzeichnis -> wird umgeleitet auf die Sperre -> muss seine Einverständniserklärung abgeben -> Cookie wird gesetzt -> Nutzer darf die Seite betreten

Warum so kompliziert? Sorge dafür, dass _jede_ Seite (domämenweit) einen Cookie bekommt und der Wert des Cookies über die Browsersitzung immer gleichbleibt. Mit dieser Voraussetzung ist der Login recht einfach zu machen:

Benutzer meldet sich an, die Credentials werden geprüft, dafür gibt es zahlreiche Möglichkeiten, das zu machen. Wenn die Anmeldung erfolgreich ist, wird Benutzername, Benutzergruppe und die Session-ID (Wert des Cookie) serverseitig gespeichert. Bei jedem nun folgenden Request wird der Wert des Cookies hergenommen und serverseitig nachgeschaut, ob es dazu eine Anmeldung (Benutzername, Benutzergruppe) gibt, mehr ist das nicht. Bis auf eine Sache natürlich: Die auszuliefernde Seite muss einem Benutzer oder einer Benutzergruppe zugeordnet sein (Tabelle). Bei Übereinstimmung der Benutzergruppe wird die Seite ausgeliefert, ansonsten nicht.

Hotti