Hallo und guten Tag,

Aber eine ganz andere Frage: Wieso setzt du die Zeit ausgerechnet auf 3800? Eine Stunde, drei Minuten und zwanzig Sekunden? Ich hätte 3600 als halbwegs runden Wert genommen (eine Stunde), oder meinetwegen 4000. Aber 3800?

Im Grunde ist das egal, ob der Wert nun auf Nullen oder krumm endet und ob er exakten Minuten entspricht oder nicht. In der Praxis ist es selten entscheidend, wann eine Session exakt ihren Timeout bekommt. Er muss nur ungefähr so groß sein, damit er einigermaßen komfortabel ist.

Und bitte nicht immer das Session-Management mit dem Login-Management verwechseln. Nun habe ich allerdings solange schon nicht mehr dazu rumgenölt, dass Ihr das schon wieder vergessen habt? Wird Zeit, dass ich mich wieder um Euch kümmere und meinen Senf dazugebe ;-P

Die Lebdensdauer der Session sollte immer ausreichend lang sein. GGf. kann man bei einem "Logout" gezielt Daten aus der Session herauslöschen. Es ist aber keinesfalls zwingend erforderlich, die Sessiondatei komplett zu löschen. Sollte der User nach zwei Minuten ein "Relogin" vornehmen, möchte er vielleicht gerne weiterarbeiten. Alternativ kann man die Aufsetzpunkte aus der Session natürlich auch in die Datenhaltung (Datenbank) verlegen, wohin sie in ordentlichen Systemen auch gehören.

Aber merke: Sessionmanagement <> Rechtemangement

Grüße
TS