Discussion :

[loukili81]

Bonjour à toute l'équipe,

j'ai un petit problème, je souhaite interdire l'ouverture simultanée de deux sessions du même compte. j'ai prévu alors une table Tsession là où je stockerai l'ID de l'utilisateur et la date/heure connexion et puis après la date/ heure de déconnexion.

le problème qui se pose maintenant c'est : si l'utilisateur ferme son browser sans avoir être déconnecté je n'ai pas moyen d'écrire dans la base de données l'heure de déconnexion donc bug à la prochaine connexion du même utilisateur qui sera considéré comme toujours connecté !!

quelqu'un aurait une solution à me proposer ? moi j'ai pensé à désactiver/cacher le bouton "fermeture" du navigateur, ce qui semble impossible sauf si on me prouve le contraire.

Merci d'avance a tout le monde.

[Mr N.]

Quel est l'intéret fonctionnel d'empecher l'ouverture de deux connexions pour un meme compte ?

Sinon je confirme, tu ne peux pas cacher le bouton fermeture du navigateur... encore heureux ! Et quand bien meme c'était possible tu peux pas empecher la panne de courant

[loukili81]

salut Mr N,

Merci pour ta réactivité et pour ton aide. sinon j'aimerai empêcher la connexion simultanée du même compte pour des raisons de sécurité.

t'as raison ça m'aurais étonné si Microsoft nous aurait permi ceci . Sinon y aurait-il un moyen de détecter cet évenement ( fermeture du browser) , mieux encore , de détécter la destruction de la session comme ce que l'on trouve en .Net ( la procédure session_end() ) ??

merci encore une fois.

[sekaijin]

je ne comprends pas
il n'y a pas deux sessions

si ton utilisateur ferme son navigateur et le réouvre la session est perdue. il en ouvre donc une autre.

s'il ferme sa fenêtre mais pas son navigateur et qu'il la réouvre il est toujours dans la même session.

si ton problème est de savoir si ton utilisateur doit s'authentifier c'est simple s'il a une session il est déjà connu et ne doit pas s'authentifier. tu peux ajouter la condition la session existe et ne contient pas de déconnexion.

mais jamais il peut y avoir deux sessions

A+JYT

[Mr N.]

Merci pour ta réactivité et pour ton aide. sinon j'aimerai empêcher la connexion simultanée du même compte pour des raisons de sécurité.

Mais encore ? Je ne vois pas le problème...

[guidav]

Tu peux éventuellement mettre un timeout sur ta table : si la session est ouverte depuis plus de 5 minutes sans action, tu vides la table.

Sinon tu parcours l'ensemble des sessions lors de la connexion, et tu vérifies que l'utilisateur n'est pas déjà présent (en adaptant la durée des sessions à ton besoin).

Ou encore, 3ème solution, en cas de coupure de courant ou autre, l'utilisateur peut demander un reset de toutes les sessions qui lui sont reliées. Mais ça permettrait à un 2è utilisateur avec les identifiants de remplacer manu militari le premier.

Bonjour à toute l'équipe,

j'ai un petit problème, je souhaite interdire l'ouverture simultanée de deux sessions du même compte. j'ai prévu alors une table Tsession là où je stockerai l'ID de l'utilisateur et la date/heure connexion et puis après la date/ heure de déconnexion.

le problème qui se pose maintenant c'est : si l'utilisateur ferme son browser sans avoir être déconnecté je n'ai pas moyen d'écrire dans la base de données l'heure de déconnexion donc bug à la prochaine connexion du même utilisateur qui sera considéré comme toujours connecté !!

quelqu'un aurait une solution à me proposer ? moi j'ai pensé à désactiver/cacher le bouton "fermeture" du navigateur, ce qui semble impossible sauf si on me prouve le contraire.

Merci d'avance a tout le monde.

[loukili81]

je réexplique mon problème à ceux qui le voient pas encore ( guidav lui je pense qu'il a compris ). en effet, le problème n'est pas un problème de session qui n'est pas détruite à la fermeture de ma fenêtre.

quand un user s'authentifie, j'écris dans ma table ( Tconnexion par exemple) la date et heure de connection. si le même user veut se connecter simultanément depuis un autre poste avec son compte, je devrai refuser l'ouverture de la 2ème session car une session est ouverte et non encore fermée( date et heure fermeture connexion non encore renseignée dans ma BDD).

imaginons maintenant que mon user ne se déconnecte pas et qu'il se contente de fermer sa fenêtre. mes variables de sessions seront détruites , je le sais, mais à sa prochaine connexion il sera interdit d'accès puisque considéré comme connecté ( vu que dans ma BDD j'aurais pas écrit les infos concernant sa déconnexion).

j'espère que c'est plus claire là.

sinon pour ta réponse guidav

Tu peux éventuellement mettre un timeout sur ta table : si la session est ouverte depuis plus de 5 minutes sans action, tu vides la table.

quand tu dis sans action ça veut bien dire que l'utilisateur reste inactif ? si c'est le cas, est ce que ceci restera valable quand le user ferme sa fenêtre ? bon je vais devoir tester peu être...

[Mr N.]

Quel est le problème de sécurité soulevé par le fait d'avoir deux connexions différentes sur un même compte ?

[stunti]

Je ne vois pas vraiment le probleme non plus.

Tu peux stocker le session id dans la table user pour chaque utilisateur lors de la connexion et verifier a chaque page que le session_id en cours correspond a celui dans la table, si c faux tu deconnecte l'utilisateur.
http://hk2.php.net/manual/en/function.session-id.php

[sekaijin]

je ne vois pas non plus car il ne peut pas y avoir deux connexion dans ce cas

soit le client à fermé son navigateur et la session est close

soit il ne l'a pas fermé et il est toujours connecté à sa session

je ne vois vraiment pas ce qu'il y a d'anormal à ça.

la connexion étant fermé à chaque page il est normal que lorsque le client reviens sans avoir fermé son navigateur il retrouve sa session

à la rigueur mettre un délai qui dit que la session expire au bout d'un certain temps d'inactivité. mais à part emmerder le client ça n'ajoute pas de sécurité.

pour moi si la session est ouverte et que le client arrive sur la page de login
deux solution soit tu ferme la session en cour et tu lui présente le formulaire de login
soit tu lui envois un message comme quoi il est déjà connecté.
et c'est tout

pour l'accès à toutes les autres page à partir du moment où le gars à une sessions c'est juste une question de permissions à gérer

A+JYT