[vienna.pm] Session management
Stefan Heinecke
nosleep at ircelite.org
Wed Dec 5 16:39:25 CST 2001
* * * vienna-pm-list * * *
On Wed, Dec 05, 2001 at 08:22:59PM +0100, Thomas Klausner wrote:
> Man kann die Session ID auch noch in der URI speichern, allerdings weiss ich
> nicht, ob Apache::Session das kann, nehme aber mal an, dass schon.
URI ist schlecht, die Sessions stehen dann im Logfile von Webserver
und ggf. im Proxylog und auf der Festplatte des Clients, ich glaube
besser kann man es nicht propagieren ;))
> Eine weitere sehr einfache Methode, die allerdings fuer die User eher
> unpraktisch ist, waere Basic Authentication (bzw noch besser Apache::AuthDBI
> http://search.cpan.org/search?dist=ApacheDBI )
> Sobald der/die UserIn eingeloggt ist, ist die UserId abrufbar, und mit der
> koennen dann die Session-Daten verknuepft werden.
Naja, http basic auth ist auch nur ein http Header, Cookies sind nicht
viel anders, wobei Authentifikation != Session, aber in einem zustandslosen
Protokoll geht das Hand in Hand ;)
Theoretisch kann man den Usernamen und das Kennwort für die Session
nehmen, aber eigentlich möchte man das nicht im Webserver sondern
in der Applikation haben - imho.
Nach eingehender Betrachtung von http wird man feststellen das das nicht
für "e-commerce" taugt, trotz pseudo-state mit Cookies die dazu "abused" werden
User zu tracken, dazu wurden sie entwickelt, aber persistente Cookies kann
man spätestens beim nächsten Reboot oder händisch im Client löschen.
###
You are subscribed to vienna-pm-list as Stefan Heinecke <nosleep at ircelite.org>
http://www.fff.at/fff/vienna.pm/
More information about the Vienna-pm
mailing list