Autenticazione utente: sospensione account

[JAEP]

salve,
ho creato un sistema in cui vi sono due figure di utenti: Amministratore e Iscritto, i quali si loggano con username e password e possono usare cookie persistenti per evitare di ripetere ogni volta la procedura di login, la quale controlla anche che l'account dell'utente che cerca di entrare nel sito sia attivo.

Bene, l'Amministratore può sospendere l'account di un iscritto. Nel caso in cui l'iscritto usi cookie persistenti, esso non ripeterà mai la procedura di login e, pertanto, risulterà sempre attivo.

Come posso risolvere questo problema? Inizialmente avevo pensato di inserire nell'Home page del sito una routine che, nel caso in cui ci sia un utente loggato, controlli lo stato del suo account. Ma questa mi sembra un'operazione abbastanza dispensiosa....c'è una soluzione migliore.

Grazie a tutti in anticipo

[riccardone]

Originariamente inviato da JAEP
...avevo pensato di inserire nell'Home page del sito una routine che, nel caso in cui ci sia un utente loggato, controlli lo stato del suo account. Ma questa mi sembra un'operazione abbastanza dispensiosa....

Se ho capito bene, il cookie evita di far scrivere i dati di login ma comunque c'e' una routine che effettua il controllo sul db. Quella stessa routine verifica che l'utente non sia sospeso.

[JAEP]

No, scusa mi sono espresso male.
Nella routine in cui si controllano i dati del db, si crea anche il cookie, pertanto viene eseguita una sola volta: quando l'utente non identificato preme sul tasto Login.

Mi spiego con un esempio.

Se l'utente X ha premuto sul tasto Login e l'autenticazione è andata a buon fine, si crea il cookie ed egli puo' accedere a tutte le parti del sito.

Adesso se l'amministratore lo sospende, l'utente X, finché non fa il Logout (ovvero cancella il cookie), pur essendo sospeso può accedere alle parti private del sito.

Questo accade perché la web-application si preoccupa semplicemente se esiste o meno il cookie, evitando così di accedere ogni volta al db.

La mia domanda è? Prima di entrare nell'Home Page del sito, devo controllare che non solo esista il cookie ma che l'utente sia attivo (la cosa comporta ogni volta un accesso al db e non so quando sia ottimale dal punto di vista delle prestazioni....)? Oppure c'è un'altra soluzione migliore?

Grazie

[riccardone]

Originariamente inviato da JAEP
...la web-application si preoccupa semplicemente se esiste o meno il cookie, evitando così di accedere ogni volta al db.

Non so se sono solo io a fare cosi: con il cookie evito di far inserire i dati di login ma questi dati li prendo dal cookie e se sono corretti allora autentico l'utente altrimenti no. Se cosi non fosse mi basterebbe crearmi il coookie per autenticarmi.

[Yauchie]

Anche io faccio cosi, anche perche non conosco altri metodi

[JAEP]

Scusate, ma a livello pratico non ho capito come si fa...

Io ho la pagina principale (Index.aspx).
Al suo caricamento viene controllato se esiste il cookie, in caso affermativo visualizza i link privati del sito, diversamente solo quelli pubblici.
Dalla Index.aspx, si può effettuare il login, accedendo alla pagina Login.aspx. In questa pagina si inseriscono nome utente e password e si clicca sull'apposito pulsante di login.
Il sistema controlla che i dati esistono sul database e che l'account sia attivo: in caso affermativo identifica l'utente mi crea il cookie che contiene il suo username.

Adesso, se l'utente non effettua il logout e riapre il sito, poiché esiste il cookie, vengono già visualizzate le sezioni private, anche se nel frattempo il suo account è stato sospeso dall'amministratore.

Come gestite voi questa situazione?
Grazie
Ciao