Session Lifetime

Hallo,

wir haben bei uns leider immer wieder Nutzer, die sich an den halböffentlichen PCs vergessen aus der Cloud auszuloggen.
Dann kommt der nächste und hat Zugriff auf Daten, die evtl. nicht für ihn bestimmt sind oder arbeitet aus Versehen als “falscher” Benutzer weiter.

Andererseits haben wir Menschen im Büro sitzen, die zu Recht den ganzen Tag über eingeloggt sind.

Hat einer von euch Erfahrung, welche Parameter man dazu am besten anpasst?

“auto_logout” scheint mir etwas zu krass, zumal es die Büro-Leute verärgern wird.

Macht es Sinn “session_lifetime” auf z.B. 30 Minuten zusetzen?

Gruß
Jason

Das ist imho perfekt, denn wenn sie den ganzen Tag eingeloggt und am arbeiten sind, schliessen sie ja auch den Browser den ganzen Tag nicht. :wink:

EDIT: Um beim schliessen des Browser ausgeloggt zu werden, braucht es folgenden Parameter:

'remember_login_cookie_lifetime' => '0',

Sind die nicht immer wegen irgendwas verärgert? :wink:

Ist auch eine Möglichkeit. Hier würde ich aber eine Stunde machen, sonst sind sie sauer, wenn sie aus der Mittagspause kommen. :wink:

Vielen Dank, für die schnelle Antwort!

Wenn ich es also richtig verstehe:

Mit gesetztem “auto_logout” und einer “session_lifetime” von 1 h, würden offene Sessions in offenen Browsern automatisch nach einer Stunde geschlossen.

Und was ist mit den Usern, die sich nicht abmelden, aber den Browser schließen? Werden die schon vorher automatisch abgemeldet?

Während der Einrichterei fand ich es ja praktisch, als Admin immer angemeldet zu sein, doch aus Sicherheitsgründen geht das ja gar nicht.
Insofern zähle ich mich da auch zu den Büroleuten. Aber stimmt wir finden immer einen Grund uns über irgendetwas zu ärgern. :wink:

Gruß
Jason

So wie ich die Doku verstehe nur in inaktiven Browsen. Getestet habe ich das aber nicht.

Oh, und so wie es aussieht (das habe ich kurz getestet), wird man mit auto_logout beim Schliessen des Browsers nicht sofort ausgeloggt. Dazu braucht es folgendes:

'remember_login_cookie_lifetime' => '0',

Vielen Dank! :ok_hand:

Ich probiere das jetzt mal über die Mittagspause auf dem Dev-Server aus. Da merkt es außer mir wenigstens keiner. :wink:

Gruß
Jason

1 Like

Also, scheint zu funktionieren. :wink:

Ich habe mich mal mit meinem Kollegen aus dem Büro kurzgeschlossen. Er ist für 30 Minuten Session Lifetime, da das kürzer ist als eine Schulstunde und somit die Wahrscheinlichkeit der Überlappung geringer. (Wir sind ja eine Schule …)

Jetzt habe ich das mal am Produktiv-Server so umgesetzt und bin gespannt, was nächste Woche so an Rückmeldungen kommt. :slight_smile:

Wenn es interessant wird, berichte ich weiter …

2 Likes

Also: es scheint sehr gut zu funktionieren. Die Anwender, die davon wissen (und es auch verstehen) haben keine Probleme und von anderen habe ich auch noch nichts Nachteiliges gehört.
Deshalb einmal kurz die Zusammenfassung der Einträge in der config.php.

  'remember_login_cookie_lifetime' => 0,
  'session_lifetime' => 3600,
  'auto_logout' => true,

Lässt man seine Session ungenutzt stehen, so wird sie nach einer Stunde abgemeldet.
Schließt man den Browser ohne vorherige Abmeldung, so ist man auch abgemeldet.

2 Likes

Mich interessiert jetzt noch, in man diese Session Lifetime für bestimmte User ausschließen kann?