Xellos,

Anche io mi sono trovato davanti ad uno sviluppo simile.

I punti-chiave del tutto (riassumendo e semplificando un po' anche i precedenti post):

a) livello di autorizzazione scritto, in fase di login, in una variabile di sessione che viene verificata ad ogni pagina (è molto utile anche per richiamare menù ad hoc personalizzati in base alle authority)

b) essenziale è anche prevedere un tasto log out che, in una pagina .asp di logout (magari con qualche saluto) inizializza le variabili di sessione ad una stringa vuota (il che equivale a non accedere più a niente!)

c) impostare session.timeout=minuti che definisce il tempo in cui vnegono conservate le variabili di sessione (conseguenza: se il browser rimane inattivo per n minuti, ogni altra azione è nulla perchè la stringa nella variabile di sessione sarà vuota)

c) nel cookie, se non erro viene solo memorizzata la variabile che identifica l'ID, e non la variabile di sessione (che invece sta su server finchè non scade session.timeout) .. e quindi non ti serve a molto per "forzare" il sistema

Spero di esserti stato utile. Ciao.

TI RISPONDO IN BREVE... (scusami ma il tempo manca sempre!)

tu scrivi:

Session("Livello") = Nothing
Session("Authorized") = Nothing

.. esatto! .. così le elimini..


Session.Timeout = 5

.. Precisamente!! ATTENTO CHE NONOSTANTE TU LE IMPOSTI A LIVELLO DI PAGINA, VALE PER TUTTA LA SESSIONE QUESTO VALORE..QUINDI IL CONSIGLIO è DI IMPOSTARLO NEL LOGIN, ESTATTAMENTE QUANDO IMPOSTI LE DUE VERIABILI DI SESSIONE CON I DATI DEL LIVELLO E DELL'AUTHORITY


..Poi, nel caso, posso prolungare il timeout in ogni pagina?
è un valore di sessione.. per ogni client che si collega, con l'istruzione sopra riportata, viene stabilito per quanto tempo può restare connesso (quindi può essere diversa da client a client se la imposti dinamicamente, magari proprio secondo il livello di authority)

Bye.