Session beenden beim Verlassen der Seite

[jkd74]

Hallo,

ich habe einen kleinen einfachen Loginbereich zum testen erstellt.
Da arbeite ich z.Z. ausschließlich mit Sessions, zum lernen.
Loginüberpfrüfung, Session starten, Werteübergabe, Werte weiterverarbeiten, Loggen usw... und schließlich das Leeren und Zerstören der Session funktioniert auf "normalem" Weg bestens.
Wenn ich jedoch nicht über den Logout die Seite verlasse, sondern einfach das Browserfenster/tab schließe, und nun die Seite erneut aufrufe, wird die Seite erneut mit allen Daten aufgerufen, weil die Session (und deren Werte) noch vorhanden ist.
Gibt es eine Möglichkeit, die Session beim Verlassen der Seite zu leeren/beenden?

[pilzebub]

PHP: session_destroy - Manual
PHP: session_unset - Manual

oder einfach $_SESSION['deinName']='';

[thomas_E]

mal eine logische Frage dazu, woher weiss/erkennt der Server, wann der Benutzer die Seite verlassen hat? Und wie unterscheidet der Server, ob der Benutzer die Seite verlässt, oder ob er nur diesen Tab schliesst?

imho gibt es keinen sicheren Weg das festzustellen.

Aber das Session-Cookie wird automatisch beim schliessen des Browsers gelöscht => Benutzer öffnet den Browser erneut == neue Session.

2. schliesst der Server eine Session, nach einer vordefinierten Zeit, ohne neue Requests => auch hier wird eine neue Session geöffnet, wenn der Benutzer die Seite erneut aufruft.
Wie lange der Server wartet, bevor er eine Session schliesst, kannst du einstellen.

Das einzig sichere ist letztlich, wenn dein Benutzer die Session per logout schliesst.

[Funkey]

Zitat:

Zitat von thomas_E

mal eine logische Frage dazu, woher weiss/erkennt der Server, wann der Benutzer die Seite verlassen hat? Und wie unterscheidet der Server, ob der Benutzer die Seite verlässt, oder ob er nur diesen Tab schliesst?

Hi, eine genaue Antwort weiß ich da auch nicht, ich könnte mir aber z.B vorstellen das es über den Port geht.

Wenn man zum ersten mal auf eine Seite kommt, werden Daten vom Clienten zum Server über den Port 80 geschickt. Auf dem Rückweg vom Server zum Clienten geht es z.B. über Port 1999. Öffnest du nun einen anderen Browser geht die Rückübertragung über den Port 1998. Also über einen anderen Port.

Wenn nun ein Tab geschlossen wird, und der Server die Verbindung zum Browser über 1999 noch aufrecht erhält, wird die Session nicht gelöscht, da der Browser noch offen ist. Wenn nun der Browser komplett geschlossen wird fällt diese Verbindung weg. Es könnte sein dass beim nächsten Verbindungsaufbau zwischen Server und Clienten dies überprüft wird. Jeder Browser Session hat ja auch einen anderen Port für die Verbindung zwischen Server und Clienten. Auf dem Hinweg geht alles über Port 80 raus zum Server.

Ich vermute, dass diese Techniken auch intern dafür genutzt werden um Sessions neu zu erstellen. Die eigentlichen Dateien der Session lassen sich auch nach dem schließen des Browsers im Temp-Verzeichnis auf dem Webserver finden. Sprich diese werden nur über die Zeit gelöscht.

Ich hoffe das hilft dir weiter.

[thomas_E]

@Funkey, diese Fragen waren eigentlich für jkd74, geacht in dem Sinne: denk mal darüber nach.

ich denke das hier ist eher ein Logisches, als ein technisches Problem. Wenn er für sich (und uns) definieren kann wann ein User die Seite verlassen hat, können wir ihm helfen dass zu implementieren.
und dass es ein paar "Stolpersteine" beim ausformulieren dieser Bedingungen geben kann wie bspw. das schliessen eines Tabs bedeutet nicht zwangsläufig, dass da nicht noch mehr Tabs mit der Seite offen sind.

Das einzige wirklich technische "Problem" bei der ganzen sache ist, dass der Server nicht auf den Client gucken kann. (und das ist gut so)

Das mit dem Port, würde ich höchstens in Verbindung mit der IP in betracht ziehen, als Sicherheitsmassnahme (bist du immer noch der der du bist?), aber auch dass kann Probleme bereiten, da die meisten Internet-Verbindungen dynamische IPs haben und sich diese (so unwahrscheinlich es auch sein mag) auch während der Benutzung ändern können (Zwangstrennung bei DSL bspw)

Session Cookies werden eh beim schliessen des Browsers gelöscht, damit wird beim erneuten Öffnen eh eine neue Session angelegt (auch wenn die alte aufm Server noch nicht abgelaufen ist)

Zitat:

Ich vermute, dass diese Techniken auch intern dafür genutzt werden um Sessions neu zu erstellen.

glaub ich nicht. das wäre so, wie wenn deine Bank/Krankenkasse/... deine Briefe nur dann akzeptieren würde, wenn der Brief vom selben Briefkasten geschickt, und vom selben Briefträger geleert wurde; und ansonsten einen neuen Klienten anlegen würden.

ich schätze das läuft so:

• nachsehen ob ein Session-Cookie gesendet wurde
• prüfen, ob die dazugehörige Session noch aktiv ist
• wenn ja: verlängere die ablauf-Frist für die Session
• ansonsten: lege eine neue Session an und sende das Session-Cookie an den Client.