Hello,

Es ist sessionbasiert und nicht requestbasiert, da die Authentifizierung nur einmal beim Eröffnen der Session vorgenommen wird. Das bedeutet auch, dass der Administrator einem User während seiner Session keine neuen Rechte zuweisen kann und ihn auch nicht rausschmeißen kann, ganz umständliche Varianten mal außer Aht gelassen.

Warum sollte das so sein?
Neue Rechte=umständlich könnt ich noch nachvollziehen, aber rausschmeißen? Ist ganz easy. ;-)

Wie würde denn das Rausschmeißen eines bestimmten Users ganz einfach funktionieren, wenn das Login nur von einem Flag in der Sessiondatei abhängig ist?

Für ein fertiges requestbasiertes System gehören allerdings noch ein paar weitere Schritte dazu, wenn man nicht von der Sessiondatei alleine abhängig sein will. Beim Folgerequest (wenn man also schon angemeldet ist) werden ja die Logindaten nicht mehr übermittelt mittels POST.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg