Hello,

Ihr habt eigentlich beide recht: der Session-Mechanismus speichert Sitzung und Benutzerkennung in einer Datenstruktur (in der Regel ein Hash oder Dictionary), die mit der in einer SQL-fähigen Datenbank gespeicherten Struktur durchaus vergleichbar ist.

Die Existenz einer Sessiondatei hat überhaupt nichts mit dem Status der Session und den Rechten des Users zu tun. Die Rechte sollten requestbasiert verwaltet werden, also bei jedem Request aktuell abgefragt werden.

Es wird hier ein zustandsloses Protokoll mittels einer Session künstlich mit einem Zustand behaftet. das bedeutet aber nicht, dass alle Zustandsdaten in die Sessiondatei (sessionbasiert) gehören würden.

Auch sollte der "Loginzustand" nicht von der physischen Existenz einer Sessiondatei abhängig gemacht werden, in der Weise, dass das "Logout" durch Löschen dieser Datei durchgeführt wird.

Es gibt genügend Anwendungsfälle, bei denen ein User seine Trägersession fortsetzen will, aber dies unter einem andern Status tun will, sich also "ummelden" will.

Und wenn Volker sich nicht vorstellen kann, wie es auf dem System zu hunderten von (aktiven) Sessiondateien kommen kann, dann müssen wir bei Adam & Eva wieder anfangen.

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg