Jan Kristinus

sehr schwierig nachtträglich zu ändern.. ich nehme das aber mal auf zum nachdenken.

Danke für den Hinweis und die Anregung und ich denke, dass Variante 2 auch meine Vorstellung wäre und sinnvoll klingt.

z.B. "Als User xy einloggen" .. und man wäre direkt eingeloggt - wäre eine Möglichkeit.

Wenn ein Passwort geändert wird, sollten die Sessions gelöscht werden, damit keine "alten" User Zugriff haben. Nur so kann man garantieren, dass eine Session nicht ewig am Leben gehalten werden...

Anbieten können, aktive Session löschen zu können

Session auf Geräte beschränken und killbar machen. Nicht nur User-Id speichern, sondern auch session id und abgleichen. Auf IP beschränkbar machen

Cookie/Session Laufzeit definieren können. Cookie StayOnline mit dem Sessionhandling zusammenlegen

ach so .. nein - das ist ist nur ein platzhalter für das Thema an sich

+ in Doku ergänzen

sieht für mich auch ok aus.