ycom icon indicating copy to clipboard operation
ycom copied to clipboard

Published 20 hours ago verified publisher icon yakamara

Doku: Funktion "eingeloggt bleiben" besser erklären

Open alxndr-w opened this issue 6 years ago • 8 comments

Trotz erfolgreichen Logouts und einem null als Rückgabewert von rex_ycom_auth::getUser(); bin ich sofort wieder eingeloggt, wenn ich auf einen geschützten Artikel gehe. Hier wird die SESSION scheinbar nicht richtig entfernt. Wie kann das sein?

Test-Zugang kann ich geben.

alxndr-w avatar Feb 21 '19 09:02 alxndr-w

It's not a Bug, it's a feature.

Das Verhalten mit dem Mustercode "eingeloggt bleiben" Muss in der Doku besser erklärt werden.

alxndr-w avatar Feb 21 '19 09:02 alxndr-w

ja.. das kann sogar ein Problem sein.. Es wird ein Cookie abgelegt, aber je nach Config in redaxo, kann der Cookie in / liegen, oder in dem Ordner wo auch das Login auftaucht.. und wenn der 2. Fall auftritt, braucht es schon Mühe zu erkennen, dass es dort einen Cookie gibt, weil dieser nicht direkt ersichtlich ist.

dergel avatar Feb 21 '19 10:02 dergel

Sollte ein forcierter Logout nicht trotzdem ein erneutes versehentliches anmelden verhindern bzw einen erneuten Login erzwingen?

alxndr-w avatar Feb 21 '19 13:02 alxndr-w

ja, tut er das nicht ?.. die aktuelle github version verwendet ?

dergel avatar Feb 22 '19 14:02 dergel

Aktuelle Installer-Version und da tut es nicht. Habe da auch keinen FTP-Zugriff, kann es also nicht direkt dort testen.

alxndr-w avatar Feb 22 '19 14:02 alxndr-w

Zipinstaller könnte da helfen 👆

skerbis avatar Feb 23 '19 10:02 skerbis

Sollte es mittlerweile tun. Einerseits weil beim Cookiesetzen jetzt immer der Pfad / verwendet wird. Zusätzlich werden nun auch die YCom Variablen in der Session wie auch der YCom Cookie gelöscht

dergel avatar Sep 16 '19 15:09 dergel

(für die Doku offen lassen)

alxndr-w avatar Sep 16 '19 15:09 alxndr-w

Ich finde gerade keine info, die so in der Doku nicht mehr stimmt. Das ganze Teil ist umgebaut und jeder Login bekommt seinen einen Sessiondatensatz. D.h. es werden mehrere Sessions erfasst und auch eingeloggt bleiben wird dort erfasst. Eingeloggt bleiben, bleibt eigentlich "unendlich" und man müsste diese Sessions im Backend manuell löschen oder einen Cronjob schreiben, der diese nach einer gewissen Zeit zwangslöscht. Sofern jemand was dazu ergänzen will, gerne - aber das issue hier schließe ich.

dergel avatar Feb 18 '23 11:02 dergel

Ist unendlich hier sinnvoll? Sollte nicht ein Cronjob bspw. nach einer festgelegten Zeit dadurch auch Leute zwangs-ausloggen können? Werden SESSION-Cookies nicht eh ggf. clientseitig gelöscht und wovon ist das abhängig?

Ich finde das ziemlich unklar.

alxndr-w avatar Feb 18 '23 11:02 alxndr-w

Eingeloggt bleiben setzt einen eigenen Cookie, der dann nichts mit einer PHP Session zu tun hat. D.h. beim client wäre eine Cookielaufzeit möglich, dann würde aber dieses "Eingeloggt bleiben" Session noch im System bleiben - und ist dort dann auch sichtbar und löschbar. Einen Cronjob könnte man sich immer nach belieben anlegen, der dann noch offene Sessions löschen kann.

Im Prinzip ist das ein Abbild, der in REDAXO 5.15 neuen Form der Sessionverwaltung

dergel avatar Feb 24 '23 08:02 dergel