impedire due ingressi simultanei con user+pwd uguali

[engi62]

Salve!

Mi chiedevo: è possibile impedire che due persone, usando stessi dati di ingresso (in un sito cui si accede con user+pwd), entrino simultaneamente?
Ho pensato a memorizzare all'ingresso l'IP ... ma se non ho l'IP fisso e mi cade la connessione, al rientro avrò l'IP diverso ... dunque rischierei di bloccare un poveraccio che sta semplicemente usando i suoi dati in due momenti vicini ...

In pratica se ho 10 iscritti ad un corso, esiste un modo per essere sicura che non partecipino in 100?

Il problema è senza soluzione oppure esiste qualcosa di ... sofisticato ... che io non conosco?

Grazie in anticipo!
Engi

[orcim]

Memorizza in una tabella la login dell'utente che si connette e la data di accesso e la confronti ( insieme alla data di accesso ) con tutte le login che si autenticano, quando la login è falsa ( cioè non è già memorizzata in tabella ) lo lasci passare, quando la login è vera ( cioè esiste già in tabella ) lo blocchi.

E' facile più a farsi che a dirsi.

[Santino83_02]

Originariamente inviato da orcim
Memorizza in una tabella la login dell'utente che si connette e la data di accesso e la confronti ( insieme alla data di accesso ) con tutte le login che si autenticano, quando la login è falsa ( cioè non è già memorizzata in tabella ) lo lasci passare, quando la login è vera ( cioè esiste già in tabella ) lo blocchi.

E' facile più a farsi che a dirsi.

il problema è che poi devi gestire il logout, e non è una cosa proprio banalissima..

[engi62]

appunto ... cioè ... il problema che mi ponevo era proprio quello che dice Santino + la consapevolezza che la connessione può cadere anche senza che il corsista lo voglia ... capita ... e se cade involontariamente avremo che: 1) sicuramente non c'è stato logout, 2) se rientra non avrà, in generale, lo stesso IP (nel caso volessi monitorare anche l'IP).

Alla tabella avevo pensato ... ma tutto questo come lo gestisco?
Mi arrendo?

engi

[8matt5]

Puoi provare a fare in modo che ad ogni login tutti quelli precedenti dello stesso utente vengono disabilitati, in più puoi mettere l'ID della sessione che hai disabilitato in una blacklist.

Mi spiego:

1. Tizio fa il login per l'utente A con SessionID x. OK gli consentiamo l'accesso.

2. mettiamo in una tabella "login" l'ID Utente A, la sua session ID x e un boolean "abilitato" = vero

3. Ogni volta che l'utente A apre o aggiorna una pagina controlliamo che la sua sessionID corrisponda nella tabella "login" al suo utente A e che il campo "abilitato" sia vero

4. Caio (dall'altra parte del mondo) fa il login per l'utente A con SessionID y. OK gli consentiamo l'accesso.

5. mettiamo nella tabella "login" l'ID Utente A, la sua session ID y e "abilitato" = vero

6. sempre nella tabella "login" modifichiamo, in tutte le righe con ID Utente = A e sessionID <> y, "abilitato" = Falso

7. Quando Tizio prova a caricare una pagina, il sistema vede che la sua session è tra quelle non abilitate quindi gli nega l'accesso. Inoltre se prova a rifare il login con quella session il sistema non glielo permette.

8. Quando a Tizio gli scade la Sessione e avrà un nuovo sessionID allora potrà rieffettuare il login, ma a quel punto Caio rimarra bloccato.

So che per cambiare sessionID basta chiudere e riaprire il browser, ma doverlo fare tutte le volte per poi rifare anche il login potrebbe essere un buon deterrente....

Inoltre per ogni login puoi salvare la data e l'ora e se vedi che l'utente A fa il login troppo spesso, lo blocchi!!
In questo modo ne Tizio ne Caio e neppure Sempronio (che poverino non centrava niente) possono loggarsi come utente A.

[Enrique_Rojas]

Originariamente inviato da Santino83_02
il problema è che poi devi gestire il logout, e non è una cosa proprio banalissima..

Non basta un cookie temporizzato che dopo qualche ora si cancella dal client?

[engi62]

Yes! mi piace ... la soluzione mi sembra di averla capita al volo! ... quella di 8matt ... per quella di Enrique: la studio ... perché non mi è chiaro cosa succede se i due si collegano contemporaneamente ... non vorrei scrivere una catasta di cookies ... e poi potrebbero averli disabilitati ... comunque ci penso!

Vi faccio sapere al più presto ... però una cariola di "GRAZIE!" ve la spedisco lo stesso!!!!

Engi

[8matt5]

Originariamente inviato da Enrique_Rojas
Non basta un cookie temporizzato che dopo qualche ora si cancella dal client?

E come fai a dire al server che quando il cookie scade deve effettuare il logout?

E poi non riesci ad affrontare il caso in cui cada la connessione.
Lavorare sul logout a tempo purtroppo non è possibile se vogliamo considerare questa evenienza, IMHO...

[8matt5]

Mi è venuta in mente un ulteriore idea che potrebbe prevenire l'acesso simultaneo in lezioni che magari sono piuttosto lunghe e l'utente deve stare sulla stessa pagina tanto tempo (caso in cui ad un utente gli converrebbe fare l'accesso doppio, poichè il disagio del chiudi+riapri+login ad ogni pagina si presenta raramente)...

Infili un iFrame nascosto in un angolino che si aggiorna ogni minuto (o ogni 2 o 3) e che controlla se l'utente è ancora abilitato.
Nel caso non lo fosse aggiorna tutta la pagina uscendo dalla lezione.

[engi62]

Capito ... ma l'iframe è considerato 'accessibile' oppure no?
funziona con tutti i browser e in tutte le condizioni?

con tutte queste storie su qual è l'html 'puro' mi gira la testa!

già ora FireFox non mi permette il login perché vorrebbe che passassi user e pwd con il metodo GET piuttosto che con il POST ... figurati!!!!!! ........... eppure non riesco a trovare la soluzione ... comunque questo è OT ... meglio tagliare qui altrimenti mi 'chiudono'!

Engi