antihacker777Всем привет. 2 дня ищу отзывы о объектах Session. Использовать их или нет ?

для чего? в подавляющем количестве случаев нет, не использовать. но без конкретики обсуждать что-либо бессмысленно. опыт говорит, что желательно обходиться без сессий, а сессии использовать только там, где речь идёт действительно о сессионных данных, требуемых только для конкретного пользователя и небольшой промежуток времени.

я, например, как-то использовал сессию когда пользователь просматривает онлайн видео на сайте. сторонний видео-сервер при запросе видео-контента, размещённого на сайте отправлял запрос на сайт с ключом сессии, а сайт в свою очередь пытался найти сессию по ключу и в результате либо разрешал, либо запрещал видео-серверу стриммить видео. таким образом полностью исключалась возможность размещать и просматривать видео на стороннем сайте, так как сессия живёт определённое время. тоже самое можно было сделать и с помощью Cache, но сессии мне показались более удобными для данного решения.

antihacker777Скажем так. Пользователь работает с личным кабинетом. Если он активен(нажимает на кнопки , пишет в поле ввода итд), то все равно сессия слетит ? Но если он оставил сайт отрытым и ушел или долго сидит без действия, то личный кабинет должен прерывать работу. Так требует безопастность.

В таком плане как ? Что использовать ?

сессия подойдёт, как защита от долгого бездействия. главное, чтобы какие-нибудь скрипты на странице периодически не делали запросов к сайту, так как они будут продлевать жизнь сессии.

antihacker777Спасибо большое. Ведь кэш можно прочесть после закрытия личного кабинета. То етсь оставляет следы. А сессию ловить не так то прсто же ? Если кто то решил взломать личный кабинет )

сессионная кука удаляется после закрытия браузера. также сессионная кука перестаёт иметь смысл, если в течение указанного в настройках веб-приложения времени жизни сессии, никакой активности не было. так же не надо путать сессию и аутентификацию/авторизацию, т.е. не стоит для этих целей использовать сессию, максимум, кешировать там профиль пользователя.

monstrUда ? удаляется?
сессия завершается после таймаута, указанного в конфигурации сайта (или дефолтного в 30 минут).
в итоге категорически нельзя рассчитывать на то, что сессия завершается при закрытии броузера

сессия не завершается при закрытии браузера. однако браузер теряет сессионную куку.

antihacker777Означает ли это - что На не закрытую сессию браузер создаст новую куку при следующим открытие ?

При следующем открытии браузера будет создана новая сессия. Даже если старая ещё не померла.