hi Topeg,

ganz genauso handhabe ich das auch! Die SID wird zwar benötigt, wenn bspw. der Zugriff auf die Login-Table oder einen Warenkorb erforderlich ist. Diese beiden Dinge liegen an völlig unabhängigen Speicherorten und das ist auch gut so, sowas klar voneinander zu trennen und nicht in einen Topf zu werfen ;)

Somit ist es auch völlig unnötig, _jede SID serverseitig zu speichern, vielmehr wird die SID nur gebraucht, wenn eine Benutzeraktion der SID bezüglich, vorliegt.

Eine SID selbst wird einmalig ausgehandelt zwischen dem UserAgent und dem Webserver, danach ist die SID synchron, es sei denn, der UA schickt bei jedem Request eine andere SID oder keine SID, letzeres wird im Response-Objekt 'vorgemerkt' und bei Bedarf als Fehler gewertet.

In meinen Session-Basierten Anwendungen prüfe ich lediglich, ob die vom UA gesendete SID bestimmten Anforderungen (Anm. 1) genügt. Diese SID wird genommen oder es wird eine neue SID generiert.

Anm. 1: Die Wahrscheinlichkeit, dass der UA eine SID vorgibt, welche mit einer anderen SID kollidiert, ist gleichwertig mit der Wahrscheinlichkeit im Fall, dass der Webserver die SID festlegt.