Bonjour,

Je suis en train de mettre en place un système de gestion de session sur un serveur Web embarqué (la fonctionnalité n'est pas intégrée dans le serveur web HTTPS).

Pour le moment, j'arrive bien à créer mes sessions, le comportement est le suivant :
- Si le client HTTP envoie un cookie avec un SESSION_ID reconnue dans la liste des sessions ouvertes, alors le serveur renvoie la page Web demandée avec le niveau d'accréditation correspondant à la session.
- Si le client HTTP n'envoie pas de cookie avec un SESSION_ID reconnue dans la liste des sessions ouvertes, alors le serveur renvoie un HTTP REDIRECT vers la page login.htm (pas de HTTP REDIRECT si la page demandé en la page login.htm car sinon ça ferait des HTTP REDIRECT en boucle).
- Si le client HTTP envoie un HTTP POST avec login/password reconnu vers la page login.htm sans envoyer de cookie avec un SESSION_ID reconnu dans la liste des sessions ouvertes, alors le serveur renvoie un HTTP REDIRECT vers la page index.htm avec le niveau d'accréditation correspondant à la session et renvoie un cookie avec l'ID de session nouvellement créé.

Maintenant mon problème est savoir comment comment je dois généré les cas suivants :
- le client HTTP envoie un HTTP POST avec login/password reconnu vers la page login.htm en envoyant un cookie avec un SESSION_ID reconnu dans la liste des sessions ouvertes : le login ne correspond pas à l'ID de session du cookie mais il correspond à l'ID d'une autre session ouverte.
=> le serveur doit ignorer le cookie et donc renvoyer un cookie correspondant à la session du HTTP POST et faire un HTTP REDIRECT vers index.htm ? ... ou ignorer le contenu du HTTP POST (et donc ne pas renvoyer de cookie) et faire un HTTP REDIRECT vers index.htm ? .... ou autre ?
=> que faire si le password est faux ? ... faire un HTTP REDIRECT vers index.htm sans renvoyer de cookie (donc en utilisant le cookie du client HTTP) ?


Donc le diffrérents cas possibles que je vois pour les requêtes sur login.htm :
- Cookie client HTTP non reconnue, HTTP POST login/password reconnues
- Cookie client HTTP non reconnue, HTTP POST login reconnu mais password faux
- Cookie client HTTP non reconnue, HTTP POST login non reconnu
- Cookie client HTTP reconnue, HTTP POST login/password reconnues => même session référencée entre le cookie et le HTTP POST
- Cookie client HTTP reconnue, HTTP POST login/password reconnues => pas la même session référencée entre le cookie et le HTTP POST
- Cookie client HTTP reconnue, HTTP POST login reconnu mais password faux => même session référencée entre le cookie et le HTTP POST
- Cookie client HTTP reconnue, HTTP POST login reconnu mais password faux => pas la même session référencée entre le cookie et le HTTP POST
- Cookie client HTTP reconnue, HTTP POST login non reconnu


Merci d'avance