Mitglieder - Session Dauer erhöhen (Contao 4.13, 5.3)

[Pecho]

Hey,

Kunde A möchte ein Modul anbieten, das über das Contao-Mitglieder-System abgesichert wird (die Gründe dafür sind hier nicht Teil der Frage). Um die UX zu verbessern, möchte Kunde A, dass sich Kunde B nur alle 7–14 Tage erneut anmelden muss.
Das Modul wird täglich über mehrere Stunden genutzt, jedoch nicht durchgängig – mal alle x Minuten, mal alle paar Stunden.

Da Contao im Frontend über Sessions arbeitet, läuft eine Session normalerweise nach einer gewissen Zeit ab, wodurch sich der Nutzer neu anmelden muss.

Ziel
Die Session soll mehrere Tage bestehen bleiben.
Es werden keine sensiblen Daten in der Session abgelegt – sie dient lediglich dazu, den eingeloggten Benutzer auszulesen, um Modul-Daten bereitzustellen.
Über die sicherheitstechnische Sinnhaftigkeit müssen wir hier nicht diskutieren – Kunde A ist darüber informiert und wünscht ausdrücklich dieses Verhalten.

Beobachtung
In Contao 5.3 haben wir festgestellt, dass das Backend-Login inzwischen mehrere Tage bestehen bleibt und nicht nach ca. 30 Minuten Inaktivität abläuft, wie es bei Contao 4.13 noch der Fall war.
Für Contao 4.* weiß ich, dass man sowohl an der Contao-Konfiguration als auch an den Hosting-Einstellungen drehen muss.

Fragen

1. Contao 5.3 - Verhält sich die Session eines Mitglieds im Frontend inzwischen genauso wie die Session eines Backend-Users? Falls nein: Welche Einstellungen (Contao-seitig oder serverseitig) müsste man ändern, um eine Sessiondauer von mehreren Tagen zu ermöglichen?
2. Contao 4.13 - Welche Einstellungen müssen hier angepasst werden, um dasselbe Ziel (mehrtägige Sessiondauer) zu erreichen?

Viele Grüße

[Spooky]

In Contao 5.3 haben wir festgestellt, dass das Backend-Login inzwischen mehrere Tage bestehen bleibt und nicht nach ca. 30 Minuten Inaktivität abläuft, wie es bei Contao 4.13 noch der Fall war.

Sollte eigentlich nicht so sein. Sobald du den Browser schließt, ist die Session immer weg (also genau genommen das Session-Cookie).

[Pecho]

Stimmt, hier habe ich mich gedanklich vertan.

Eventuell ist doch etwas leichter als gedacht mittels REMEMBERME-Cookie, der wohl 1 Jahr halten soll. Könnte es hier dennoch zu "Einschränkungen" kommen oder ist es eigentlich genau das, was benötigt wird. Bin mir unsicher, wie Contao das intern selbst handhabt. Sobald keine Session vorhanden ist, nutzt er den Cookie und erstellt anhand dessen ein neue Session für den Nutzer selbst?

[Spooky]

Eine Login Session ist immer an das Session Cookie gebunden (egal in welcher Contao Version). Mit dem Default Session Handling und der Default PHP Konfiguration ist die session.cookie_lifetime auf 0 - sprich, das Session Cookie läuft beim Browser ab, sobald der Browser geschlossen wird. Auf der Seite des Servers läuft die Session in der Default PHP Konfiguration dann ab, wenn sich mehr als 1440 Sekunden nichts getan hat (session.gc_maxlifetime). Allerdings ist die Session dann nicht sofort weg, sondern irgendwann nach dieser Zeit.

Unabhängig davon gibt es das REMEMBERME Cookie. Damit kann ein Mitglied im Frontend automatisch authentifiziert werden, wenn keine aktive Session existiert.