Login-Modul: Mit Cookie oder Session?

Hi,

ich habe ein Login-Modul geschrieben, was mit Cookies funktioniert,
d.h. beim einloggen wird ein Cookie angelegt in dem die Daten
(Name / Password - natürlich verschlüsselt) drinstehen!
Zusätzlich hab ich noch einen Auto-Login Modus eingebaut (in dem Fall werden die Cookies 5 Jahre gespeichert)

Was denkt ihr, was in diesem Fall die bessere Lösung ist?
Über Sessions oder Cookies?


Danke schonmal im vorraus

cYa

Die bessere Lösung für was? Für das gesamte Sessionsystem oder für den Autologin, der über 5 Jahre gehen soll?

Ich würde generell keine Cookies benutzen. Ist irgendwie son Tick bei mir ;-)
Möchtest du den Login aber aber 5 Jahre speichern, würde ich das über Cookies machen. Da, wenn du viele User hast, und die Session 5 Jahre gespeichert werden soll, du deinen Server vollmüllen würdest.

Management: Nimm Sessions!
Auto-Login: Cookies!

@PP: Wie willst denn 'ne Session nach 5 Jahren identifizieren?

LOL habe ich da einen scheiss zusammen geschrieben. Sorry, das geht ja garnicht.
Was ich eigentlich sagen wollte. Cookies sind kagge.
Also in meinen Anwendungen verzichte ich auf sowas. Sicherlich machen Cookies in seltenen Fällen sinn, aber ich selbst benutze so etwas nicht und werde es auch nicht benutzen.
Ich mag es nicht sachen beim Client zu lassen. Und nen AutoLogin finde einfach nur Spielkram.

Cookies sind nicht nur bei dir unbeliebt. Bei den meißten anderen Programmern aber auch vielen Usern sind die die Kekse nicht gern gesehen.

Ob ein Auto-Login Spielkram ist, darüber lässt sich streiten. Schließlich wird diese Funktion nicht umsonst bei so vielen Anwendungen angeboten. Ich nutze Sie war auch kaum. Aber z.B. hier im Forum, wo ich mehrmals täglich anzutreffen bin, bin ich froh, dass ich mich nicht einloggen brauch.

öhmmm geht ned n autologin kram mit session.. ich mein solange man sich ned ausloggt ist die seesion doch noch da und mal ehrlich wer logt sich aus ?

Hi,
ich muss TobiaZ recht geben, für zum einloggen die Cookies, und für das Management die Sessions.

Zitat:

Original geschrieben von Skaschy
öhmmm geht ned n autologin kram mit session.. ich mein solange man sich ned ausloggt ist die seesion doch noch da und mal ehrlich wer logt sich aus ?

Die Session stirbt in dem Moment in dem du das Browser-Fenster schließt, bzw die Seite verläst.

1. Die 5 Jahre sollen nur ein Beispiel sein ...
2. Dann werd ich das ganze wohl mal mit Sessions probieren!

Aber bei Sessions müsste man ja noch die IP überprüfen, da man die SessionID ja auch auf einem anderen Computer benutzen kann um sich einzuloggen, oder?

cYa

Speichere doch einfach den Benutzername und das Kennwort in den Sessions.

... was mich ja nicht weiterbringt, da man dann trotzdem noch die SessionID auf einem anderen Computer eingeben kann um sich einzuloggen ...

Du kannst auch die IP in den Sessions speichern.

Klar kann man die Session an nen anderen Computer übergeben, aber ich kann auch einfach meinen Cookie auf nem anderen PC speichern. Und dann!

Ich versteh nicht, wo dein Problem ist:

Management:
Login -> session wird gesetzt -> session wird auf jeder seite geprüft.

Autologin:
bei Hacken wird cookie gesetzt -> Loginseite fragt ab, ob cookie vorhanden und nutzt diese Benutzerdaten.

Man kann doch das Cookie nicht einfach auf einen anderen PC kopieren, oder?

Doch geht ganz einfach. Diskette rein, draufkopieren und an den andern Rechner wieder zurückkopieren. und schon hast du den Cookie wo anders.