Mit ‘Session’ getaggte Artikel

 

Nicht mehr oder noch nicht angemeldet?

Montag, 30. März 2009

In Webanwendungen ist ein Teil der Funktionen häufig nur für angemeldete Benutzer verfügbar.
So kann es passieren, dass die Session verfällt, wenn der Benutzer zu lange nichts in der Anwendung getan hat. Da der Benutzer jedoch vielfach noch seinen Browser und auch die Anwendung geöffnet hat, werden wir häufig damit konfrontiert den Benutzer darüber zu informieren, dass seine Session nicht mehr gültig ist.
Der direkte Aufruf von URLs führt uns schliesslich zu der Frage: Bin ich nicht mehr oder noch nicht angemeldet?

Was wollen wir sagen?
Was sagen wir dem Benutzer, wenn er auf eine Seite zugreifen will, für die eine Anmeldung erforderlich ist? Hierfür kann es verschiedene Gründe geben:

  • die Session ist verfallen
  • der Benutzer folgt einem Deeplink oder hat sich ein Lesezeichen gesetzt

Für die Anwendung sehen beide Fälle fast identisch aus, jedoch ist es für eine gute Benutzerführung eine aussagekräftige Fehlermeldung erforderlich.

Entscheidungskriterien
Die Lösung hierfür liegt in zwei kleinen Funktionen, die wir uns durch Kombination zu Nutzen machen können:

  • getRequestedSessionId() in javax.servlet.http.HttpServletRequest
  • isNew() in javax.servlet.http.HttpSession

Eine Sitzung ist dann verfallen, wenn der Client eine Session-ID mitschickt, der Server dennoch eine neue Session erzeugt. In Java können wir den Zustand wie folgt prüfen:

if (request.getRequestedSessionId() != null 
    && request.getSession().isNew()) {
    // session invalidated
} else {
    // login required
}

Ausnahmen
Die oben beschriebene Lösung funktioniert gut wenn die Sessions mittels Cookies verwaltet werden. Probleme macht der Fall, wenn der Benutzer keine Cookies zulässt und ein URL-Rewriting genutzt werden muss. Hierbei wird die URL mit der Session-ID erweitert; der einzelne Link wird Session-abhängig. Lesezeichen einer solchen URL würden dann immer eine Session-ID mitsenden: eine falsche Fehlermeldung wäre vorprogrammiert.
Glücklicherweise dürfte dieser Fall eher selten vorkommen, da der Benutzer schon generell die Verwendung von Cookies ablehnen müsste.


Thomas Bader

Tags:, ,
Abgelegt in Java | Keine Kommentare »