Coder Board Community

Ich habe mir vor einiger Zeit schon mal ein eigenes kleines Skript geschrieben mit dem ich bei Systemen die ich erstelle eine Benutzerverwaltung einbinden kann. Das heißt Benutzer können sich registrieren, einloggen und anhand des Logins steuere ich dann gewisse Funktionen auf der Seite. Es gibt auch noch eine Tabelle in der ich Berechtigungsstufen nutzen kann um z.B. einem Benutzer das Recht geben zu können gewisse dinge zu sehen aber nicht zu verändern und so.

Jetzt möchte ich das ganze gerne so erweitern, dass wenn ein Benutzer 15 Minuten inaktiv war er sich neu einloggen muss und die Session auch gekillt wird. Genügt es jede Aktivität mit einem Timestamp in die Sessionstable zu packen und wenn mehr wie 15 Minuten seit der letzten Aktion vorüber sind den Nutzer einfach auszuloggen als hätte er selbst auf Logout geklickt oder gibts da ne elegantere Methode?

Außerdem hätte ich auch gerne das ein Nutzer wirklich nur ein mal eingeloggt sein kann. Das heißt wenn er sich einloggt soll der Login für den Nutzer gesperrt sein bis er sich ausloggt. Damit möchte ich verhindern das ein Benutzer mit hoher Berechtigung versehentlich auf einem PC eingeloggt ist und dann noch auf einem zweiten Aktiv wird ohne den vorherigen PC zu überwachen. Bei einem Projekt ist es jetzt vorgekommen, dass ein Benutzer etwas sehen konnte was nicht für seine Augen gedacht war eben wegen diesem Problem. Kann sich ein Nutzer nur auf einem PC einloggen ist er gezwungen dran zu denken sich auszuloggen bevor er die Arbeitsstation wechselt. Nur wie fange ich das ab am besten noch ohne Cookies?

Das mit dem Timestamp hatte ich mir auch schon so überlegt nur ich dachte es gibt irgendwie was standardmäßiges wie "sessionage" oder sowas was ich abfragen kann und dann bei 15 Minuten inaktivität automatisch nen logout oder so. Naja aber die Lösung mit dem Timestamp erfüllt ja den Zweck das soll dann mal egal sein.
Das zweite mit dem Login verhindern wenn er den PC wechselt hab ich nicht so ganz verstanden. Wie soll ich denn wenn der User an einen anderen Rechner geht prüfen ob er eingeloggt ist? Seine Userdaten sind ja erst nach dem Login verfügbar und nicht schon vorher sonst hätte ja jeder Gast zugriff auf alles.

Ich hab beides jetzt umgesetzt und es funktioniert beides einwandfrei. Netter Nebeneffekt ist noch das ich jetzt dem User anzeigen lassen kann wann er zuletzt da war. Und da ich so oder so noch vor habe ein "User Log" zu erweitern in dem ich alle Handlungen des Users festhalte ist das auch schon ein Ansatz dafür. Ich hab mir jetzt schon eine zusätzliche Tabelle gemacht in welcher ich die Login Zeiten der User speichere und so schon mal abrufen kann wann welcher User eingeloggt war. Jetzt muss ich nur noch pro Seite die er aufruft einen Eintrag erzeugen alla "Auswertung aufgerufen" oder "Datenerfassung aufgerufen" und dann ist mein Log auch schon fertig.

Einzig der Admin Bereich ist jetzt noch ein Problem aber das ist ein anderes Thema.

Das mit dem Bereinigen der Session Table hatte ich vorher eh schon drin. Das war eigentlich klar das man das machen sollte. Deshalb hab ich ja auch die zusätzliche Tabelle für meine Logs. Und auch diese räume ich am 1ten jeden Monat auf und speichere die Logs in einer Textdatei. Klappt auch alles bestens.