Re: [LA-discussions] gestion de session php

[ Thread Index | Date Index | More linuxarverne.org/discussions Archives ]

To: discussions@xxxxxxxxxxxxxxxx
Subject: Re: [LA-discussions] gestion de session php
From: "Kewl Cat" <kewlcat@xxxxxxx>
Date: Wed, 17 Apr 2013 09:17:51 -0400

----- Original Message -----
From: Matthieu
Subject: Re: [LA-discussions] gestion de session php
>Heuuuu avec 8 utilisateurs et 3 ou 4 paramètres chacun ?...

Ouais, disons que si tu as besoin de faire évoluer le nombre d'utilisateurs ou le nombre de paramètres, ça sera plus simple avec une BDD.

Bonjour

Je suis votre discussion de loin, donc peut-être que je n'ai pas vu passer l'info, cependant il me semble que la question de la persistence ds données n'a pas été abordée, et que la réponse sus-citée me paraît plus qu'obligatoire puisque le stockage en session n'est pas éternel. En dehors du fait que le cookie de session peut être effacé manuellement par l'utilisateur et qu'il peut expirer, il me semble qu'il existe un paramètre côté serveur qui fait périmer les données de session au bout d'un certain temps.

Stocker des données en session ne remplacera jamais l'utilisation d'un stockage externe (ni mémoire, ni fichier temporaire). Par ailleurs, les sessions étant "étanches" un administrateur ne pourra pas accéder aux données de session de ses utilisateurs (pour le cas où le site implémente une gestion d'utilisateurs avec des actions possibles par un administrateur).

Bref.

Tout ça pour dire que gérer l'identification ou l'authentification par des données en session c'est très bien, mais pour retrouver les données saisies une fois la session expirée, ce n'est pas l'idéal...

A quel endroit sont stockées les données permettant de vérifier que ce qui a été saisi par l'utilisateur (son login + son password) sont bel et bien existants et lui permettent d'accéder à la ressource demandée ?

Question subsidiaire : pourquoi trimballer en session son login et son password une fois ceux-ci vérifiés et validés ? Chaque ressource est susceptible de refaire cette vérification / validation pour déterminer les droits correspondants ? Ca signifie que chaque script du site doit contenir du code qui vérifie si le couple user/pass fourni est présent dans une liste de user/pass autorisés ?

=^.^=

Follow-Ups:
- Re: [LA-discussions] gestion de session php
  - From: Matthieu

Messages sorted by: [ date | thread ]
Prev by Date: Re: [LA-discussions] gestion de session php
Next by Date: Re: [LA-discussions] gestion de session php
Previous by thread: Re: [LA-discussions] gestion de session php
Next by thread: Re: [LA-discussions] gestion de session php

Mail converted by MHonArc 2.6.19+

http://listengine.tuxfamily.org/