Ég er soldið búinn að vera að pæla undanfarið í hver sé besta leiðin til að aðgreina notanda ‘sessions’. Það sem ég á við með því er þegar notandi er að skoða eitt vefsvæði sem eru margar síður án þess að fara útaf síðunni (s.s. yfir á annað URL sem telst ekki til þessa vefsvæðis) og oft telst session “slitna” ef notandi er óvirkur í tíma sem er oft stilltur á 15-20 mín.
Til eru nokkrar aðferðir til að gera þetta, flestar nota cookies á einn eða annan hátt (t.d. Session objectið í ASP, eða skrifa bara beint cookie hjá notanda), lesa úr database við login og bæta við ID númeri í URL strenginn (t.d. /notanda_sida.asp?ID=10).
Ég ætla að telja upp nokkra kosti og galla við nokkrar aðferðir:

<B>Cookies.</B>
Kostir: Mjög þægilegt og fljótlegt er að vinna með cookies, einfalt er bæði að skrifa og lesa cookies frá notanda sem er búin til (bökuð :-)) t.d. við login eða við skráningu á vefsíðu í fyrsta skipti. Hægt er að stilla líftíma á þeim (s.s. hvað þær eru gildar lengi) og fleiri hluti eins og einskorða þær bara við ákveðnar síður (þannig að bara vissar síður geta lesið þær).
Gallar: virkar ekki með vefskoðurum sem styðja ekki cookies eða ef notandi hefur valið að nota ekki cookies, einnig er í sumum tilfellum hægt að baka platköku til að komast inná síður sem þú átt ekki að komast inná.

<B>Notandaupplýsingar í URL streng.</B>
Kostir: Einfalt í notkun og þarf ekki cookies (fyrir vefskoðara sem leyfa ekki cookies).
Gallar: Mjög óöruggt, stundum er hægt að giska á strenginn til að komast inn sem einhver annar og óprúttnir aðilar geta “hlustað” á samskipti milli þín og netþjónsins til að finna út strenginn ásamt fleiri aðferðum.


Fyrir öryggi myndi segja að best væri að nota cookies sem renna út eftir að notandi hefur verið óvirkur í 15-20 mín.. en hvað þá með þá sem slökkva á cookies?

Hvaða fleiri aðferðir er gott að nota með ofangreindum (eða öðrum) aðferðum? SSL, encryption etc.

Endilega sendið inn ykkar skoðanir og hvaða aðferðir þið notið :)