Hello E.,

Auch nach einem Logout lässt sich die Prozedur wiederholen.

Dann stimmt doch schon hier etwas nicht? Wenn du dich ausloggst, sollte doch die betroffene Session endgültig gekillt werden? Wieso kommst du mit den alten Daten dann noch rein?

Wir müssen wohl nochmal bei Adam & Eve beginnen?

• HTTP ist verbindungslos und damit zustandslos

• Ein Login gibt es nicht per HTTP, sondern mur eine unsichere Authentifikation

• Aus dieser Authentififaktion kan man eine Identifikation betreiben

• Das nennt man dann leider "Login", obwohl es sich ur um ein
    "Re-Auth mit nachfolgenden Unsicherheiten" handelt

• Das Bestehen einer Session (Auth) hat überhaupt nicht zur Folge, dass auch eine
    "Anmeldung" (Ident) besteht.

• Eine Re-Identifikation setzt eine gültige Session voraus

• Es gibt unterschiedliche Verfahren für das vermeintliche "HTTP-Login"
  -- sessionbasiert
  -- requestbasiert

usw.

Ich werde mich quälen und das im Wiki näher erläutern.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg