Natuurlijk! Hier is een overzicht en stapsgewijze aanpak voor het ontwerpen en implementeren van geavanceerd sessiebeheer in jouw CodeIgniter 4.0.0 toepassing, inclusief sessietimers van 15 minuten en veilige opslag. 1. Sessiebeheer configureren ---------------------------- a. Gebruik de ingebouwde sessieklasse van CodeIgniter 4, die flexibel en veilig is. b. Pas de configuratie aan in `app/Config/Session.php`: ```php <?php namespace Config; use CodeIgniter\Config\BaseConfig; class Session extends BaseConfig { public $driver = 'CodeIgniter\Session\Handlers\FileHandler'; // of 'DatabaseHandler' voor database opslag public $savePath = WRITEPATH . 'sessions'; // voor file-based opslag public $cookieName = 'ci_session'; public $cookieDomain = ''; public $cookieSecure = false; // zet op true bij HTTPS public $cookieHTTPOnly = true; public $sessionTimeout = 900; // 15 minuten in seconden public $sessionName = 'ci_session'; public $sessionDriver = 'CodeIgniter\Session\Handlers\FileHandler'; } ``` 2. Sessietimer en vervaldatum beheren -------------------------------------- a. CodeIgniter behandelt de sessietijd automatisch via `$sessionTimeout`. b. Voor extra controle kun je in je controllers of middleware controleren of de sessie nog geldig is: ```php if (time() - session()->get('last_activity') > 900) { session()->destroy(); // sessie verwijderen na 15 minuten inactiviteit } else { session()->set('last_activity', time()); } ``` c. Bij elke request update je de `last_activity` timestamp. 3. Automatische sessievernieuwing en timeout --------------------------------------------- a. Gebruik middleware of hooks om elke request te controleren en te verifiëren of de sessie nog geldig is. b. Bijvoorbeeld in `app/Filters/AuthFilter.php`: ```php public function after(RequestInterface $request, ResponseInterface $response, $arguments = null) { $lastActivity = session()->get('last_activity'); if ($lastActivity && (time() - $lastActivity > 900)) { session()->destroy(); return redirect()->to('/login')->with('message', 'Sessietijd verlopen. Log opnieuw in.'); } else { session()->set('last_activity', time()); } } ``` 4. Veilige sessieopslag ----------------------- a. Gebruik `DatabaseHandler` voor betere beveiliging en schaalbaarheid: - Maak een tabel `ci_sessions` aan: ```sql CREATE TABLE ci_sessions ( id VARCHAR(128) NOT NULL, user_data TEXT NOT NULL, last_active TIMESTAMP DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP, PRIMARY KEY (id) ); ``` - Pas `app/Config/Session.php` aan: ```php public $driver = 'CodeIgniter\Session\Handlers\DatabaseHandler'; public $savePath = 'ci_sessions'; ``` b. Zorg dat je databaseverbinding correct is ingesteld. c. Zet `cookieSecure` op `true` en `cookieHTTPOnly` op `true` voor extra beveiliging. 5. Extra tips voor geavanceerd sessiebeheer -------------------------------------------- - Gebruik regeneratie van sessie-ID na belangrijke acties (zoals login): ```php session()->regenerate(); ``` - Log sessieactiviteiten voor auditdoeleinden. - Overweeg het gebruik van CSRF-bescherming en beveilig je cookies tegen cross-site scripting. --- Door deze stappen te volgen, implementeer je een robuust, veilig en effectief sessiebeheer in je CodeIgniter 4.0.0 toepassing met een sessietijd van 15 minuten. Mocht je specifieke codevoorbeelden of hulp nodig hebben bij een bepaald onderdeel, laat het gerust weten!

Hier is een uitgebreide handleiding voor geavanceerd sessiebeheer in CodeIgniter 4.0.0 met een 15-minuten timeout: ## 1. Basis Sessieconfiguratie Pas eerst de sessieconfiguratie aan in `app/Config/Session.php`: ```php <?php namespace Config; use CodeIgniter\Config\BaseConfig; class Session extends BaseConfig { public string $driver = 'CodeIgniter\Session\Handlers\FileHandler'; public string $cookieName = 'ci_session'; public int $expiration = 900; // 15 minuten in seconden public string $savePath = WRITEPATH . 'session'; public bool $matchIP = false; public int $timeToUpdate = 300; // 5 minuten public bool $regenerateDestroy = false; // Beveiligingsinstellingen public bool $secure = true; // Alleen HTTPS public bool $httpOnly = true; // Geen JavaScript toegang public string $sameSite = 'Lax'; } ``` ## 2. Aangepaste Sessie Handler Maak een aangepaste sessie handler voor geavanceerde functionaliteit: ```php <?php namespace App\Libraries; class AdvancedSession { protected $session; protected $userModel; public function __construct() { $this->session = \Config\Services::session(); $this->userModel = new \App\Models\UserModel(); } // Sessie starten met extra veiligheidsmaatregelen public function startUserSession($userId) { // Genereer nieuwe sessie ID voor beveiliging $this->session->regenerate(true); // Sla gebruikersgegevens op $userData = [ 'user_id' => $userId, 'logged_in' => true, 'login_time' => time(), 'last_activity' => time(), 'ip_address' => service('request')->getIPAddress(), 'user_agent' => service('request')->getUserAgent()->getAgentString() ]; $this->session->set($userData); // Log sessie start $this->logSessionActivity($userId, 'login'); } // Sessie verlengen bij activiteit public function updateLastActivity() { if ($this->session->has('last_activity')) { $this->session->set('last_activity', time()); } } // Controleer of sessie nog geldig is public function isValidSession() { if (!$this->session->has('logged_in') || !$this->session->get('logged_in')) { return false; } $lastActivity = $this->session->get('last_activity'); $currentTime = time(); // Controleer timeout (15 minuten) if (($currentTime - $lastActivity) > 900) { $this->destroySession(); return false; } // Beveiligingscontroles if (!$this->validateSessionSecurity()) { $this->destroySession(); return false; } // Update laatste activiteit $this->updateLastActivity(); return true; } // Beveiligingsvalidatie private function validateSessionSecurity() { $currentIP = service('request')->getIPAddress(); $currentUserAgent = service('request')->getUserAgent()->getAgentString(); $sessionIP = $this->session->get('ip_address'); $sessionUserAgent = $this->session->get('user_agent'); // Controleer IP en User Agent if ($sessionIP !== $currentIP || $sessionUserAgent !== $currentUserAgent) { return false; } return true; } // Sessie vernietigen public function destroySession() { if ($this->session->has('user_id')) { $this->logSessionActivity($this->session->get('user_id'), 'logout'); } $this->session->destroy(); } // Sessie activiteit loggen private function logSessionActivity($userId, $activity) { // Implementeer je eigen logging mechanisme $logModel = new \App\Models\SessionLogModel(); $logModel->insert([ 'user_id' => $userId, 'activity' => $activity, 'ip_address' => service('request')->getIPAddress(), 'timestamp' => date('Y-m-d H:i:s') ]); } } ``` ## 3. Database Sessie Handler (Aanbevolen) Voor betere beveiliging en prestaties, gebruik database sessies: ```php <?php namespace App\Database\Migrations; use CodeIgniter\Database\Migration; class CreateSessionsTable extends Migration { public function up() { $this->forge->addField([ 'id' => [ 'type' => 'VARCHAR', 'constraint' => 128, 'null' => false ], 'ip_address' => [ 'type' => 'VARCHAR', 'constraint' => 45, 'null' => false ], 'timestamp' => [ 'type' => 'TIMESTAMP', 'default' => 'CURRENT_TIMESTAMP' ], 'data' => [ 'type' => 'BLOB', 'null' => false ] ]); $this->forge->addKey('id', true); $this->forge->addKey('timestamp'); $this->forge->createTable('ci_sessions'); } public function down() { $this->forge->dropTable('ci_sessions'); } } ``` Configureer database sessies in `Session.php`: ```php public string $driver = 'CodeIgniter\Session\Handlers\DatabaseHandler'; public string $savePath = 'ci_sessions'; ``` ## 4. Middleware voor Sessiecontrole Maak een filter voor automatische sessiecontrole: ```php <?php namespace App\Filters; use CodeIgniter\Filters\FilterInterface; use CodeIgniter\HTTP\RequestInterface; use CodeIgniter\HTTP\ResponseInterface; class SessionCheck implements FilterInterface { public function before(RequestInterface $request, $arguments = null) { $session = \Config\Services::session(); $advancedSession = new \App\Libraries\AdvancedSession(); // Controleer of gebruiker ingelogd is if (!$advancedSession->isValidSession()) { // Redirect naar login pagina return redirect()->to('/login')->with('error', 'Uw sessie is verlopen'); } // Update laatste activiteit $advancedSession->updateLastActivity(); } public function after(RequestInterface $request, ResponseInterface $response, $arguments = null) { // Post-verwerking indien nodig } } ``` Registreer de filter in `app/Config/Filters.php`: ```php public $aliases = [ // ... bestaande aliases 'sessionCheck' => \App\Filters\SessionCheck::class ]; public $filters = [ 'sessionCheck' => [ 'before' => [ 'dashboard/*', 'profile/*', 'admin/*' ] ] ]; ``` ## 5. Gebruik in Controllers ```php <?php namespace App\Controllers; class AuthController extends BaseController { public function login() { $advancedSession = new \App\Libraries\AdvancedSession(); // Validatie en authenticatie logica if ($this->request->getMethod() === 'post') { $email = $this->request->getPost('email'); $password = $this->request->getPost('password'); // Valideer gebruiker $userModel = new \App\Models\UserModel(); $user = $userModel->where('email', $email)->first(); if ($user && password_verify($password, $user['password'])) { $advancedSession->startUserSession($user['id']); return redirect()->to('/dashboard'); } else { return redirect()->back()->with('error', 'Ongeldige inloggegevens'); } } return view('login'); } public function logout() { $advancedSession = new \App\Libraries\AdvancedSession(); $advancedSession->destroySession(); return redirect()->to('/login')->with('success', 'U bent succesvol uitgelogd'); } } ``` ## 6. AJAX Sessie Vernieuwing Voor single-page applicaties, voeg JavaScript toe om de sessie te vernieuwen: ```javascript class SessionManager { constructor() { this.timeout = 900000; // 15 minuten in milliseconden this.warningTime = 60000; // 1 minuut waarschuwing this.init(); } init() { // Vernieuw sessie bij gebruikersactiviteit document.addEventListener('click', () => this.updateActivity()); document.addEventListener('keypress', () => this.updateActivity()); // Controleer sessie status periodiek setInterval(() => this.checkSession(), 60000); } updateActivity() { fetch('/api/session/update', { method: 'POST', headers: { 'X-Requested-With': 'XMLHttpRequest' } }); } checkSession() { fetch('/api/session/status') .then(response => response.json()) .then(data => { if (!data.valid) { window.location.href = '/login?timeout=1'; } }); } } new SessionManager(); ``` ## 7. Aanvullende Beveiligingsmaatregelen ```php // In je BaseController protected function setupSessionSecurity() { // Prevent session fixation if (!$this->session->has('initialized')) { $this->session->regenerate(true); $this->session->set('initialized', true); } // Rate limiting voor login pogingen $throttler = \Config\Services::throttler(); if ($throttler->check('login-' . $this->request->getIPAddress(), 5, 300) === false) { die('Te veel login pogingen. Probeer het later opnieuw.'); } } ``` Deze implementatie biedt: - **15-minuten timeout** met automatische vernieuwing - **Beveiligde sessieopslag** in database - **IP en User Agent validatie** - **Automatische sessie vernieuwing** - **Uitgebreide logging** - **Middleware bescherming** voor routes Pas de code aan naar je specifieke gebruikersmodel en database structuur!