Нужно убить сеанс?

Question

Очень быстро здесь ... Я думаю, что у меня есть ответ, но просто ищу подтверждение.

У меня есть сайт с двумя «точками входа». Один для обычного пользователя, а другой для учетной записи администратора. В реальном мире администратор может иметь стандартную учетную запись пользователя и пытаться войти в систему как администратор, когда он уже находится в режиме стандартной пользовательской сессии.

У меня есть два отдельных интерфейса для облегчения входа в систему. Обычный пользователь - вычурный и имеет рекламу и тому подобное, администратор - строго бизнес, поэтому любое предложение о том, чтобы два типа пользователей входили через одну и ту же «дверь», отсутствует на столе.

Посоветуете ли вы на странице входа администратора уничтожить какие-либо активные сеансы? Как только администратор войдет, они будут работать только в своей административной области, а не на основном сайте.

Кто-нибудь сталкивался с пробами, используя этот метод, и если пользователь с правами администратора попытался войти в новое окно как «пользователь», чтобы просмотреть изменения с точки зрения вошедшего в систему пользователя?

Заранее спасибо. Так много банок с червями :)

Answer 1

банок с червями да. Наличие ваших сеансов администратора убивает сеансы пользователей, также да.

Лично, учитывая то, что вы описали, я бы держал оба набора сеансов изолированными от другого. Должно позволять вам включать вещи в сеансы, которые помогают укрепить представление о том, что пользователи не могут получить доступ к страницам администратора.

Тем не менее, вам не нужно убивать сеанс. Должна быть возможность обновить существующую сессию. Я бы держал их отдельно, потому что это помогло бы мне сохранить ясность двух областей (что помогло бы мне избежать ошибок безопасности).