Originariamente inviato da Grino La logica è corretta, ma non è detto che tu debba lavorare per forza con il nome utente.
Ne approfitto per chiederti un'ultima cosa;
Al momento nelle prove che sto facendo utilizzo il nome utente perchè è l'unico campo che mi permette di risalire univocamente all'utente loggato, ma essendo un campo "pubblico" (ad esempio i nomi utente sarebbero visibili su un'eventuale forum), c'è qualche vulnerabilità che permette ad un utente smaliziato di utilizzare il nome utente di qualcun altro per modificare la propria sessione? Se ho capito il meccanismo direi di no, o almeno non in maniera banale, dovendo ricorrere comunque a tecniche di sniffing o xss, o sbaglio?