Programmieren: Hilfe & Austausch

Wenn du möchtest das die Leute zurückkommen können und Sessions wieder aufnehmen, dann verpass ihnen einfach langanhaltende Cookies und speichere Daten über die letze Session in eine Datenbank.

Wenn sie sich anmelden schaust du ob ein Cookie da ist, schlägst die ID in der Datenbank nach, und schreibst die Daten in die Session.

Dann kann der Besucher da weitermachen wo er aufgehört hat.

@interpreter

Datenbank hab ich, Accounts werden gespeichert und geladen. Aber was genau schreibe ich in die lang anhaltenden Cookies?

Wenn Sie sich an melden? Ich möchte doch, dass diese Anmeldung bei gesetzten Cookies autom. erfolgt.

@AnGSt

Eine Nummer... diese Nummer speicherst du auch in den Account und wenn der Besucher auf die Seite kommt schlägst du sie in deiner Datenbank nach... eine einfache If-Verzweigung.

Das wäre wirklich sehr einfach. Aber können dann nicht Hacker Zugang zu anderen Accounts haben, indem Sie die Nummer im Cookie manuell ändern? @interpreter

ps: könnte ich die userID als diese Nummer benutzen oder ist das unsicher?

@AnGSt

Klar, nennt man Session Hijacking.

Du kannst dagegen ankämpfen indem du beispielsweise nicht nur die ID sondern noch eine zusätzliche Nummer in das langananhaltende Cookie speicherst... Außerdem könntest du die Nummer einfach extrem lang machen...

@AnGSt

Die userID würde ich nun nicht nehmen :D es sei denn du verwendest ne zusätzliche Absicherung... einen einzigartigen Key.

Außerdem solltest du diesen Key bei JEDER Verwendung austauschen.

@interpreter

Die userID is ja nach außen hin nie sichtbar. Vielleicht langt es schon, wenn ich noch den Namen des Users dazu nehme. Wer kann schon die richtige Namen zu Nummer Kombi erraten?

@AnGSt

Jo... dann muss irgendwer nur einmal nen Cookie von einem deiner Benutzer kopieren, und hat ewigen Zugriff auf das Konto.
Außerdem ist die userID sichtbar, wenn du sie in das Cookie schreibst :D

@interpreter

Das kopieren des Cookies ist aber immer möglich, egal wie komplex ich die Sache gestalte. Also nehme ich einfach nur eine zufällige Nummer, die bei jedem Zugriff geändert wird. Besser dürfte es nicht gehen. Oder?

@AnGSt

Ja... vorallem muss sich der originale Benutzer nur einmal einloggen um weiteres einloggen durch das gefälschte Cookie zu vermeiden.

@interpreter

Es funktioniert wie geplant! :D

@AnGSt

gut

Jetzt möchte ich es so machen, dass ein Gastbesucher auf der Site gleich ohne Login die Hauptfunktionen austesten kann, ohne einen Account zu machen. Dafür ist wohl schonmal ein temporärer User nötig, weil schon die Datenbank beteiligt ist. Wie würdet Ihr sowas machen? Meine Idee: ganz einfach temporären User an legen, bei Accounterstellung übernehmen, beim Ausloggen wieder neuen Tempuser anlegen, damit alles danach so ist wie davor. Per cronjob überflüssige Tempuser löschen. Wie würdet Ihr das machen?

@AnGSt
wenn doch eh jeder nicht angemeldete user alle funktionien benutzen kann, wieso dann der aufwand mit tempusern?

einfach das system so umschreiben, dass alle optionen offen sind für jeden. Angemeldete user hingegen erhalten user-bezogenen content. aus die maus ;)

hi

beschaeftigt sich jemand mit android, konkret mit libGDX und/oder SDL und auch dem NDK, also C/C++...?

viele fragen

alliswrong schrieb:einfach das system so umschreiben, dass alle optionen offen sind für jeden. Angemeldete user hingegen erhalten user-bezogenen content. aus die maus

Das System erfordert auch für die öffentlichen Funktionen eine UserID mit zugehörigen Daten in der Bank. Ein angemeldeter Benutzter kann aber davon profitieren, dass seine Daten bis dauerhaft in der Bank bleiben. Also muss ich da irgendwie unterscheiden. Es sind auch nicht ganz alle Funks für jeden offen.

@AnGSt
was spricht dagegen nur einen "temp-user" anzulegen und diesen allen unangemeldeten usern zuzuweisen? also eine art "demokonto für alle".

@AnGSt
Ich weiß nicht wie es in PHP ist, aber in Rails werden für jeden Gast eine Session ID generiert und in die Datenbank eingetragen, es wird auch eine Cookie erzeugt, wenn der Gast geht, wird das alles automatisch gelöscht. Dadurch kann man ganz einfach z. B. Breadcrumbs erzeugen etc. pp., vielleicht gibt es auch in PHP sowas. Das kannst du dann ja für deine Zwecke nutzen. ;)