Hello,

Ich arbeite an einem Login-Skript in PHP. Dazu benutze ich für die Nutzererkennung Sessions.

[...]

Ich dachte, dass andere Poster und ich meine Gedanken dazu scho ausreichend hier niedergeschrieben hätten, aber vermutlich hat Matthias recht und wir müssen diese Gedanken aus dem Archiv einsammeln, sortieren und als Wiki-Beitrag miederschreiben. Das macht man leider nicht einfach so in fünf Minuten.

Zuvor bitte nur nochmal eins:

HTTP kennt kein "Login", da es Zustandslos arbeitet. Wenn ein request abgeschlossen ist, also durch abschließende Response beantwortet wurde, haben Server und Client keine Verbindung mehr untereinander.

Wenn wir nun trotzdem ein "Login" emulieren wollen , dann besteht das aus

• Sessionaufbau (Authentifizierung 1)
• Sessionnutzung (Identifizierung)
• Sessionnutzung (Rechtekontrolle, Angebote)
• Sessionnutzung (Rechtekonteolle, Aktionen)
• usw.

Wir müssen also mindestens drei Stufen voneinander trennen:

• Sessionaufbau,
• Identifizierung
• Authorisierung

Manche Anwendungen sch(m)eißen das leider ohne nachzudenken in einen Topf.

Ich wiederhole mich daher hier nochmal:

Eine Session zum Server zu haben, bedeutet nicht, an diesem Rechte wahrnehmen zu dürfen!

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg