Hi,

Oh je. Sicher geht das, ist aber viel zu umständlich und hat den
Nachteil, dass der eigentliche "Login" clientseitig gespeichert ist.

Soweit war ich in dem Tutorial noch nicht, das ist natürlich nicht der Sinn der Sache

Machs besser so:
-eine Tabelle für Benutzer, Passwort, email...
    => Für den Login-Prozess, Passwortprüfung

ok, hab ich

-eine andere Tabelle für den Login-Status, session-id, user, timestamp,
benutzergruppe

leg ich an

damit wird nur noch die session-id im cookie übertragen. Die Abfrage auf
die zweite Tabelle liefert u.a. die Benutzergruppe, welche im
Berechtigungs-System mit der Gruppe verglichen wird, die dem Request-URL
zugeordnet ist.

Das heißt für jeden Request, den ich auf den Server schicke (per AJAX, jqgrid) frage ich vorher ab, ob in der Tabelle Login-Status die session-id aktuell ist, für den user gültig und das Verfallsdatum < timestamp plus z.B. 30 minuten.

Clean up bedeutet jetzt genau was? Lösche alle Datensätze aus der Login-Status-Tabelle, deren Verfallsdatum erreicht ist (wie?), bzw. lösche den Datensatz über die Funktion Logout.

Ich habe bislang noch keinen soliden Login programmiert und versuche anhand von php.net und tutorials dieses Thema erlernen.

Danke für Deine weitere Hilfe sagt Paeonia