Zdravím,
předem oznamuji, že se můj dotaz týká bakalářské práce a nevyžaduji psaní kódu, pouze by mě zajímal Váš názor.
Programuji webovou aplikaci a řeším přihlašování uživatelů a jejich přístup do jednotlivých sekcí webu. Zatím je to vyřešeno takto:
- pro uložení informací o uživateli (jeho jméno a přístupová práva) je použito session
- aplikace používá mnou vytvořenou databázi s uživateli (SQL 2008)
- pokud někdo přijde na stránku, je mu uděleno už. jméno anonymous a se stejným jménem i právo přístupu. Takový uživatel může pouze procházet úvodní stránky modulů a dostat se na přihlašovací stránku
- pokud se přihlásí řadový student, do session je uloženo student a má přístup kamkoli, kromě admin sekce
- pokud se přihlásí admin, je do session je uloženo admin a má přístup do všech částí webu
- při odhlášení uživatele je session zrušena
Tak, jak jsem to popsal výše, mi to zatím funguje dobře. Problém ovšem je, jak ukončit session, pokud se uživatel neodhlásí, ale pouze zavře záložku v prohlížeči, popř. samotný prohlížeč. Dočetl jsem se, že při použití session toto není možné zjistit. A nastavit session timeout natvrdo a upozornit uživatele, aby co (např.) 5 minut udělal refresh, mi nepřijde moc košer.
Rád bych znal váš názor, co si myslíte o použité metodě, popř. jak vylepšit zabezpečení nebo jiným způsobem řešit uživatelské sezení (abych to odlišil). Díky