Session management

Jiří Mareš Jiri.Mares na seznam.cz
Středa Červenec 9 15:36:44 CEST 2003


Dobry den,

resim takovy teoreticky problem a chci se zeptat na nazor.

Mam webovou aplikaci, ktera ma obecnou vsem pristupnou cast a cast 
pristupnou pouze po loginu. A ted to prijde. Mam dva scenare, jak login 
zaridit a chci se zeptat, zda jsou oba stejne nebezpecne ci jeden je lepsi.

1) Teprve pozaduje-li uzivatel neco z chranene oblasti mu zobrazim 
dialog pro login a je-li uspesny, pak vytvorim session s nastavenou 
delkou zivota, do ktere si ulozim info o uzivateli (to mohu delat bud za 
pomoci kontejneru (tusim authentication-method FORM), ci rize sam bez 
jeho pricineni, vyprsi-li session uzivatel je odhlasen.

2) Session vytvorim vzdy pri prvnim pristupu na mou stranku (mohu vni 
drzet nejake zajimave informace i neni-li uzivatel prihlasen). Teprve 
je-li pozadavek na privilegovanou cast webu vyzadam si login a do sessny 
ulozim nejake info o uzivateli a o timeoutu na odhlaseni. Pak mam filt, 
ktery kontroluje, zda timeout pri requestu jiz nahodou neni vyprseny a 
pokud ano smaze info o prihlaseni uzivatele a ten je opet neprihlasen.

Jde mi o to, jak je to s obema metodama v pripade, ze uzivatel odejde od 
prohlizece bez logoutu, a prijde nekdo drive, nez vyprsi session ci muj 
timeout? Je na 2. metode neco vylozene spatne co me nenapadlo?

Diky za nazory
-- 
Jiří Mareš (mailto:Jiri.Mares na seznam.cz)



Další informace o konferenci Konference