Hallo,
hui, viele Infos. Danke dafür.
Dazu gibt es hier im Archiv auch schon diverse Threads, die ich bei Interesse gerne heraussuche.
Immer gerne.
Bei meiner Anwendung handelt es sich um ein kleines Tippspiel für einen geschlossenen Anwenderkreis also keine Hochsicherheitsanwendung (nur zur Info - soll keine Ausrede für eine Murkslösung sein).
Erster Schritt wäre also die Teilung des Cookies in zwei teile. Ein teil gibt Auskunft über den Account, der andere darüber, ob Zugriff erlaubt ist. Dann lässt sich ein wiederholter unerlaubter Zugriff auf eine Account erkennen und man kann Sicherungsmaßnhamen ergreifen.
Meinst du beim zweiten Coockie den mit der Session-ID?
Zweiter Schritt ist die Erneurerung dieser Teilschlüssel möglichst mit jedem Request. Dafür ist eine zusätzliche Übersetzungsschicht notwendig.
Wie wird sowas realisiert?
Es ist absolut nicht notwenig, einen Benuter, der längere Zeit nicht zugegriffen hat auf seine Daten "abzumelden". Es würde reichen, anderen Usern erst einmal anzuzeigen, dass dieser User 1, 2, 5, 10 Minuten nicht mehr aktiv war.
Ich möchte einen User auch gar nicht abmelden, zumindest nicht nach so kurzer Zeit. Das soll nur passieren, wenn er selbst einen Abmelden-Link betätigt (löst session_destroy() aus). Anderen Usern soll auch nichts angezeigt werden.
Ziel ist, dass der Benutzer wenn er sich einmal angemeldet hat, die Seite besuchen kann, ohne sich allzu oft wieder neu anmelden zu müssen (jedenfalls nicht schon nach halbstündiger Inaktivität).
Die Basisschicht ist "Authorisation per Login"
Die Logische Schicht kann hingengen auch "Authorisation per Request"
oder sogar "Authorisation per Function" (on the fly) sicherstellen.
Diese Unterschiede habe ich noch nicht so richtig begriffen. Bedeutet "per Login" das Senden des Session-Coockies?
Danke & Gruß
Josh