Mailinglisten-Archive |
Hallo Liste,
ich habe eine kleine Verstaendnisfrage zu Sessions und Cookies. Ich
habe einen Shop, der fuer das Sessionsmanagement Cookies bzw. als
Alternative Get-Parameter verwendet. Mein Kunde moechte nun, dass sich
seine Kunden beim Einloggen entscheiden koennen, ob die Session
dauerhaft in einem Cookie gespeichert werden soll, damit sich die
Benutzer nicht jedes Mal neu anmelden muessen.
Irgendwie sehe ich den Wald vor lauter Baeumen nicht. Wie wuerdet ihr
die Sache konkret angehen? ich sehe momentan zwei Moeglichkeiten:
1. Reicht es aus, wenn die Gueltigkeit der Session nicht auf eine halbe
Stunde begrenzt wird? Das wuerden zudem heissen, dass bei der GC
dauerhafte Sessions nicht automatisch geloescht werden.
2. Oder sollte ich neben dem normalen Session-Cookie einen zweiten
Cookie verwenden, in dem z.B. die Benutzerkennung gespeichert wird?
In diesem Fall wuerde ein Kunde, der den Shop besucht und einen
entsprechenden dauerhaften Cookie hat, automatisch eingeloggt werden
und eine neue Session bekommen.
Falls die zweite Variante sinnvoller ist, was sollte ich in dem Cookie
speichern? Einfach nur die Benutzerkennung? Das Passwort ja auf keinen
Fall!
Kleine Zusatzfrage von meinem Kunden: waere es moeglich, einen
derartigen Cookie, der nur die Benutzerkennung enthaelt, zu faken? D.h.
man bastelt sich selber einen Cookie mit Benutzerkennung "Schulze", um
sich automatisch einzuloggen. Waere es in einem solchen Fall nicht
besser, etwas anderes als die Benutzerkennung zu speichern, und wenn
ja, was sollte man nehmen?
Ich bin fuer jede Anregungen und jeden Tipp dankbar.
Viele Gruesse aus dem warmen und sonnigen Norden.
Ralf
--
_____________________________________________
In-Greece.de - die Griechenlandcommunity
_________ http://www.in-greece.de/ __________
php::bar PHP Wiki - Listenarchive