Welche (SessionID-)Methode zur User-Identifikation

Hallo,

ich habe mit Perl bereits mehrere Projekte mit einem Login-Bereich realisiert, die verschiedene Techniken zur Identifikation des Users verwenden:

• SessionID über alle Seiten hindurchschleusen; Nachteil: Alle Seiten müssen dynamisch generiert werden, ID kann u.U. verloren gehen
• Cookies; Nachteil: Einige User haben Cookies ausgeschaltet

Jetzt plane ich ein Portal, bei dem ich auf die Ausgabe von dynamisch generierten Seiten zu 90% verzichten muss, so dass
die 1. genannte Methode ausscheidet, ebenso wie die 2. weil ich den User auf jeden Fall identifizieren will.

Was ist am besten dafür?

• Identifikation anhand der IP-Nummer (evtl. in Kombination mit User-Agent) mit auto-Logout nach 30 Minuten
• Verwendung einer SessionID als third-level-Domain (sessionID.domain.de)
• eine Kombination dieser beider Methoden?

Oder kennt Ihr vielleicht noch weitere Methoden?

Auf eine Abfrage ob der User Cookies zulässt um dann unterschiedliche Methoden zu verwenden will ich verzichten, weil das zu viel Aufwand in der Programmierung darstellen würde.

Vielen Dank + Viele Grüße
Michael

ich habe mit Perl bereits mehrere Projekte mit einem
Login-Bereich realisiert, die verschiedene Techniken zur
Identifikation des Users verwenden:

• SessionID über alle Seiten hindurchschleusen; Nachteil: Alle
  Seiten müssen dynamisch generiert werden, ID kann u.U.
  verloren gehen
• Cookies; Nachteil: Einige User haben Cookies ausgeschaltet

Jetzt plane ich ein Portal, bei dem ich auf die Ausgabe von
dynamisch generierten Seiten zu 90% verzichten muss, so dass
die 1. genannte Methode ausscheidet, ebenso wie die 2. weil
ich den User auf jeden Fall identifizieren will.

wenn du nur statische seiten auslieferst, wie genau willst du dann sie sid auswerten?

Was ist am besten dafür?

• Identifikation anhand der IP-Nummer (evtl. in Kombination
  mit User-Agent) mit auto-Logout nach 30 Minuten

das wuerde ich lassen. das macht mit sicherheit probleme, stichworte proxy nat etc…

• Verwendung einer SessionID als third-level-Domain
  (sessionID.domain.de)

hehe - sieht bestimmt lustig aus. wird das irgendwo gemacht?

• eine Kombination dieser beider Methoden?

Oder kennt Ihr vielleicht noch weitere Methoden?

bist du auf nem apache? dann kann man vielleicht was mit nem htuser bauen, die authentifizierung muss der browser jedesmal mitsenden.

ich habe mit Perl bereits mehrere Projekte mit einem
Login-Bereich realisiert, die verschiedene Techniken zur
Identifikation des Users verwenden:

• SessionID über alle Seiten hindurchschleusen; Nachteil: Alle
  Seiten müssen dynamisch generiert werden, ID kann u.U.
  verloren gehen
• Cookies; Nachteil: Einige User haben Cookies ausgeschaltet

Jetzt plane ich ein Portal, bei dem ich auf die Ausgabe von
dynamisch generierten Seiten zu 90% verzichten muss, so dass
die 1. genannte Methode ausscheidet, ebenso wie die 2. weil
ich den User auf jeden Fall identifizieren will.

wenn du nur statische seiten auslieferst, wie genau willst du
dann sie sid auswerten?

Entweder per SSI oder gar nicht. Die HTML-Seiten können auch so betrachtet werden, ohne dass dazu eine Identifikation nötig wäre. Den Logout-Button blende ich per SSI ein.

Was ist am besten dafür?

• Identifikation anhand der IP-Nummer (evtl. in Kombination
  mit User-Agent) mit auto-Logout nach 30 Minuten

das wuerde ich lassen. das macht mit sicherheit probleme,
stichworte proxy nat etc…

kann sein…

• Verwendung einer SessionID als third-level-Domain
  (sessionID.domain.de)

hehe - sieht bestimmt lustig aus. wird das irgendwo gemacht?

Nein, aber das ist sehr effizient. Die statischen Seiten werden angezeigt, ohne dass ich jedem Link eine SID anfügen muss und die dynamischen Seiten können die SID über HTTP_HOST abfragen.

• eine Kombination dieser beider Methoden?

Oder kennt Ihr vielleicht noch weitere Methoden?

bist du auf nem apache? dann kann man vielleicht was mit nem
htuser bauen, die authentifizierung muss der browser jedesmal
mitsenden.

Ja, was ist htuser? Davon habe ich noch nie etwas gehört.

Oder kennt Ihr vielleicht noch weitere Methoden?

bist du auf nem apache? dann kann man vielleicht was mit nem
htuser bauen, die authentifizierung muss der browser jedesmal
mitsenden.

Ja, was ist htuser? Davon habe ich noch nie etwas gehört.

ich meinte die benutzer fuer eine „auth basic\nrequire valid user“ in z.b. einer .htaccess ich glaube mich zu erinnern ,dass es da schnittstellen gäbe.

Hi namensverwandter (me => D. Schramm )

also die Variante mit der htuser ist auch die die mir am meisten zusagt. vorallem was soll die var mit dem HTTP_HOST da kann ich die SID auch gleich per GET holen oder?

Gruß
highspeed24

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]