Moin,

[...]Wie kann ich das besser machen? Habe gelesen mit einer Session ID aber was muss da drin stehen? Wie löse ich mein Problem am besten und sichersten?

Du bist nahe dran. Die Session-ID ist das Herzstück einer Session, sie wird bei einem erfolgreichen Login generiert.

Wie diese SID zusammengesetzt ist, spielt keine Rolle, sie muss jedoch absolut eindeutig und schwer zu erraten sein und es ist zu gewährleisten, dass es beim Erzeugen der SID keine Duplikate gibt. Aus Gründen der Sicherheit sollte die SID keine Informationen zum Benutzer und auch keine Informationen zum Verfallsdatum einer Session enthalten (auch nicht synchron verschlüsselt), diese Dinge gehören auf dem Server gespeichert.

Hast Du solch eine SID, kommt die einmal auf den Server und zum Anderen in den Cookie zum Client.

Damit ist eine Session nur gültig, wenn

• der Client einen Cookie schickt mit einer SID, die es auch auf dem Server gibt
• das Verfallsdatum der SID nicht erreicht ist

Sicherheit erhöhen:

• https anstelle http
• secure-flag im Cookie setzen

Hotte