Login-Script mit Auto-Login (Sessions+Cookies)

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Login-Script mit Auto-Login (Sessions+Cookies)

    Ich bin mir darüber bewusst, dass es schon mehrere Threads dieser Art gibts. Aber es wurde noch nie genau mein Problem behandelt

    Ich bin gerade dabei ein Login-Script zu basteln. Eigentlich nicht so schwer, aber ich habe z.Z. nen kleines Verständnissproblem. Vielleicht könnt ihr mir ja helfen.

    Ich brauche hier keinen Quellcode, ich will nur das Konzept verstehen, bin wohl zu dumm mir das selbst zu überlegen. DANKE

    LOGIN-Script anforderungen:
    - Auto-Login per dauerhaften Cookie
    - Session starten, wenn sich der user per Login oder per Dauerhaft-Cookie ausweisen konnte.

    Also mein Denkansatz:

    FALL 1:
    Ein User kommt auf eine Seite die Berechtigungen erfordert. Nun wird überprüft ob sich der User ausweisen kann. Wenn eine Session besteht wird diese weitergeführt. KEIN PROBLEM!

    FALL 2:
    Wenn der user keine laufende Session hat, aber nen Auto-Login Cookie (Dauerhaft) hat wird das MD5 PW + ID ausgelesen und in einer Session gespeichert, dann wird erneut versucht die Site zu laden. Session ID wird per cookie übergeben (2. cookie)?

    FALL 3:
    Der User will auf die Admin-Seite, hat aber keine Session am laufen und keinen Dauerhaften cookie. Also gibts ne weiterleitung auf die login.html!

    Soweit so gut. Nun meine Frage: Ich möchte die SessionID nicht in der URL speichern, sondern per Cookie. Brauche ich 2 Cookies? Einen Dauerhaften und einen wo nur die Session gespeichert wird oder gibt es auch andere Möglichkeiten?

    Ist die Idee gut oder gibt es bessere Möglichkeiten?
    Vielleicht hab ich auch einfach nur ein bisschen zuviel gecoded und bin gerade bisserl verwirrt. Trotzdem schonmal danke für eure antworten!


    Besteht ein Sicherheitsrisiko, wenn der User den SessionCookie (incl pw und id) über den schon vorhandenen dauerhaften Cookie generiert?
    Zuletzt geändert von Lacri; 24.03.2004, 09:36.

  • #2
    hmm, also du hast recht. es sind dann 2 kekse. aber der session cookie beinhaltet keine variablen aus der sesssion. die daten der aktuellen session werden auf dem server gespeichert
    h.a.n.d.
    Schmalle

    http://impressed.by
    http://blog.schmalenberger.it



    Wichtige Anmerkung: Ich habe keine Probleme mit Alkohol ...
    ... nur ohne :-)

    Kommentar


    • #3
      also speichert man nur die sessionid() im cookie übergibt die an den Server und der sagt einem z.B. was in $_SESSION['password'] gespeichert ist? =)

      Kommentar


      • #4
        du machst gar nix, das passiert alles von ganz alleine
        h.a.n.d.
        Schmalle

        http://impressed.by
        http://blog.schmalenberger.it



        Wichtige Anmerkung: Ich habe keine Probleme mit Alkohol ...
        ... nur ohne :-)

        Kommentar


        • #5
          Danke für die Hilfe, ich werds dann mal versuchen

          Kommentar

          Lädt...
          X