Hallo dedlfix,

und weil Http prinzipiell stateless ist, d.h. den Zustand "angemeldeter User" gibt's gar nicht. Es gibt nur "User mit ordnungsgemäß verschlüsseltem Cookie, der zum hinterlegten Passworthash passt".

Es gibt auch kein Logout, und mMn auch keinen Ablauf des Login, es sei denn man kann diesem Keks ein Verfallsdatum aufdrucken (oder ist das ein Krümelkeks der beim schließen des Browsers zerbröselt?)

tl;dr: Session

Rolf