Ho sviluppato diverse aree ad accesso riservato.
Ho sempre utilizzato le variabili di sessione per memorizzare una stringa che viene controllata all'intestazione di ogni pagina dell'area.
Quindi una volta autenticato, l'utente per tutta la durata della sessione mantiene i diritti di accesso alle pagine dell'area. Oppure fino quando fa il logout esplicito con una pagina ad hoc.
Quando scade la sessione, oppure cerca di fare un link diretto alla pagina senza autenticazione, lo stesso viene dirottato nuovamente alla pagina di login.

Succede però, che in maniera discontinua succeda che in tempi brevi, dopo il login, l'utente venga "buttato fuori", quindi la session perda il valore.

Ci sono situazioni di server (provider) oppure di client che possono rendere instabile questa gestione?

Qualcuno ha avuto problemi simili? Come li avete gestiti?

Grazie, marco.