Ciao a tutti...
come realizzereste voi il mantenimento dello stato di un utente loggato in una area riservata senza variabili di sessione?
Io l'unica alternativa che ho trovato è utilizzare i cookie.
Però se ho capito bene non sono il massimo della sicurezza.
A me servirebbe che l'utente, una volta loggato, possa navigare all'interno dell'area riservata finchè:
- non fa il logout
- non chiude il browser
grazie a tutti.
PS: cosa rischio effettivamente ad utilizzare i cookie?
Perchè non vuoi usare le sessioni? :master:
Provare paura per un qualcosa che ti possa capitare nel futuro non ti evita quell'evento,ti fa soltanto vivere un presente sbagliato!
giusta domanda....
perchè nell'area riservata ci sono dei form da compilare piuttosto lunghi in termini di tempo..e poi chi compilerà i dati spesso non può in un colpo solo inserirli tutti ma trascorrerebbe del tempo tra un dato e l'altro. Quindi le sessioni avendo un timeout rischierebbero di sbattere fuori l'utente costringendolo a ricompilare il tutto...
usa i cookie e rinfresca la session con i cookie...potresti mettere l'expires dei cookie a qualche ora (1-2 ore) in maniera che si rinfreschi la session per il periodo giusto
mmm...non capisco molto cosa intendi...scusa :master:
quando fai il login oltre ad istanziare la session crei anche in cookie con .expires impostato ad un'ora dopo la creazione
in ogni pagina controlli che la session sia settata. Se non è settata controlli che esista il coockie. se il cookie è presente ricrei la session con i dati del cookie e, se vuoi, aumenti l'expires del cookie. Se il cookie non è presente rimandi alla pagina di login
Ma se aumenta il timeout della sessione?
rischia di sfasciare IIS (in un sito che ho ereditato alla fine l'ho dovuta abbassare perchè l'iis in cui stava il sito andava a farsi benedire dopo un pò(non era cmq solo quello il problema) )Originariamente inviato da Stan
Ma se aumenta il timeout della sessione?
Permessi di invio
Rispondi quotando