✔ Frage zur Session ID

[deostift]

Hallo zusammen,

ich stehe vor der Herausforderung dass ich die Session-ID nicht

a) in einem Cookie speichern darf und
b) die Session ID nicht in der URL mitschleifen soll

Spontan fiele mir nur die Variante ein, sie in einem hidden-input-Feld zu speichern. Allerdings wäre sie beim klicken eines Links auch weg ...

Gibt es noch eine andere Art eine Session-ID über mehrere Seiten mitzuschleifen. Den Apache kann ich konfigurieren ... falls es hier einen Weg geben sollte.

Grüßle, Deo

 

[Gumbo]

Allgemein gibt nur einen Weg, dem Server die Sitzungs-ID zu übermitteln, und zwar in der HTTP-Anfrage. Dort lässt sie sich allerdings wiederum auf drei Arten unterbringen: in dem angefragten URI selbst, in einem Header-Feld (etwa das Cookie-Header-Feld) oder im Körper der Anfrage selbst (das wäre das POST-Argument). Ist keine dieser Wege möglich/erlaubt, gibt es auch keine ratsame Möglichkeit.

Klar könnte die Identifizierung des Benutzers auch über andere Mittel und Wege – etwa Kombination aus IP-Adresse und User-Agent-Kennung – erfolgen, doch das meist ist nicht besonders empfehlenswert. Denn eine Übereinstimmung von IP-Adresse und User-Agent-Kennung ist bereits in einem Unternehmens- oder Schulnetz bereits sehr wahrscheinlich.

Wer hat dir denn überhaupt diese Bedingungen gestellt?

 

[deostift]

Mein Brötchengeber ..

Es handelt sich hier allerdings um eine Webserver-Installation auf einem kleinen Industrie-Computer ... und das Ganze dann in Perl -.-

Danke Dir, Gumbo .. werde mal nach dem "Cookie-Header-Field" googlen... Ist das eine "Notlösung" oder ist das voll tauglich? Kannte die Variante noch nicht ...

EDIT: Bzw. ... das Cookie-Header-Field ist ein Normalo-Cookie (der clientseitig gespeichert wird und mir nicht erlaubt ist) ? Oder ist das eine andere Art Infos zu übermitteln

EDIT2: Naja eine andere Variante wäre ein Frame-Konstrukt zu nehmen ... dann wäre ie ID in der URI aber oben in der Adressleiste nicht sichtbar ... aber Frames solles es auch ncht sein -.- ...

 

[Gumbo]

Erkläre einfach deinem Brötchengeber, dass es keine vernünftige Möglichkeit gibt, dieses ohne Cookie oder URL-Argument zu lösen, den Benutzer also eindeutig zu identifizieren.