wir haben bei uns leider immer wieder Nutzer, die sich an den halböffentlichen PCs vergessen aus der Cloud auszuloggen.
Dann kommt der nächste und hat Zugriff auf Daten, die evtl. nicht für ihn bestimmt sind oder arbeitet aus Versehen als “falscher” Benutzer weiter.
Andererseits haben wir Menschen im Büro sitzen, die zu Recht den ganzen Tag über eingeloggt sind.
Hat einer von euch Erfahrung, welche Parameter man dazu am besten anpasst?
“auto_logout” scheint mir etwas zu krass, zumal es die Büro-Leute verärgern wird.
Macht es Sinn “session_lifetime” auf z.B. 30 Minuten zusetzen?
Mit gesetztem “auto_logout” und einer “session_lifetime” von 1 h, würden offene Sessions in offenen Browsern automatisch nach einer Stunde geschlossen.
Und was ist mit den Usern, die sich nicht abmelden, aber den Browser schließen? Werden die schon vorher automatisch abgemeldet?
Während der Einrichterei fand ich es ja praktisch, als Admin immer angemeldet zu sein, doch aus Sicherheitsgründen geht das ja gar nicht.
Insofern zähle ich mich da auch zu den Büroleuten. Aber stimmt wir finden immer einen Grund uns über irgendetwas zu ärgern.
So wie ich die Doku verstehe nur in inaktiven Browsen. Getestet habe ich das aber nicht.
Oh, und so wie es aussieht (das habe ich kurz getestet), wird man mit auto_logout beim Schliessen des Browsers nicht sofort ausgeloggt. Dazu braucht es folgendes:
Ich habe mich mal mit meinem Kollegen aus dem Büro kurzgeschlossen. Er ist für 30 Minuten Session Lifetime, da das kürzer ist als eine Schulstunde und somit die Wahrscheinlichkeit der Überlappung geringer. (Wir sind ja eine Schule …)
Jetzt habe ich das mal am Produktiv-Server so umgesetzt und bin gespannt, was nächste Woche so an Rückmeldungen kommt.
Also: es scheint sehr gut zu funktionieren. Die Anwender, die davon wissen (und es auch verstehen) haben keine Probleme und von anderen habe ich auch noch nichts Nachteiliges gehört.
Deshalb einmal kurz die Zusammenfassung der Einträge in der config.php.
Lässt man seine Session ungenutzt stehen, so wird sie nach einer Stunde abgemeldet.
Schließt man den Browser ohne vorherige Abmeldung, so ist man auch abgemeldet.