Login für Mitgliederbereich/ Sessions/ Zugriffsschutz

[swulff]

Hallo allerseits!

Ich bin neu hier und hoffe, dass ich nicht gleich mit allzu naiven Fragen unangenehm auffalle. Ich beschäftige mich seit rund einem Jahr recht intensiv mit PHP-Programmierung, staune aber immer noch wieder, welch elegante Wege es manchmal gibt, auf die ich nie oder kaum gekommen wäre ...

Aber zur Sache:
Auf unserer Vereinshomepage gibt es einen Mitgliederbereich. Der Zugang ist bisher ganz schlicht über Verzeichnisschutz (htaccess) mit gemeinsamem Login für alle Mitglieder gelöst.
Nun haben wir vieles auf dynamische Inhalte umgebaut und erweitert und wollen den Mitgliedern auch einen persönlichen Login ermöglichen.

Das grundsätzliche Realisieren des Logins und der Umgang mit Sessions ist mir einigermaßen klar. Ein bisschen was läuft auch schon so.

Aber: Was muss ich tun, um den Mitgliederbereich weiterhin effizient zu schützen? Denn den htaccess-Schutz muss ich doch vermutlich aufheben, damit sich die Mitglieder nicht doppelte anmelden müssen?

Über sachdienliche Hinweise wäre ich wirklich sehr froh.

Vielen Dank im Voraus,
Stefan

[Romanday]

Aber: Was muss ich tun, um den Mitgliederbereich weiterhin effizient zu schützen? Denn den htaccess-Schutz muss ich doch vermutlich aufheben, damit sich die Mitglieder nicht doppelte anmelden müssen?

Jedes Mitglied bekommt einen eindeutigen Usernamen + PW + Rechte.
Kommt ein neues Mitglied hinzu, wird abgefragt ob es diesen user
schon gibt.

Du könntest auch noch ein Profil temporär mitloggen, um auszuschließen
das 1 User sich gleichzeitig auf mehreren verschiedenen Clients einloggt.

Das kann man aber immer noch später machen.

Am einfachsten geht das mit einer DB nach Wahl.

Poste mal bitte den Link zur freiwilligen Feuerwehr. (Neugier..)

[swulff]

Die freiwillige Feuerwehr ist www.clazz.de

Im öffentlichen Bereich ist aber nicht nicht viel wirklich dynamisches drin und außerdem nicht mein Zuständigkeitsbereich :-)

Aber: Es geht mir nicht drum, dass sich 1 Mensch mehrfach parallel anmeldet, sondern darum, dass er

1. Username und Passwort eingeben muss um den Verzeichniszugang (htaccess) zu bekommen und dann
2. Username und Passwort für die PHP-Sesssion eingeben muss.

Ohne htaccess habe ich aber keinen Zugriffsschutz für meine Dateien im Mitgliederbereich.

Viele Grüße,
Stefan

[Romanday]

Die freiwillige Feuerwehr ist www.clazz.de

Viele Grüße,
Stefan

Hübsche Page.

PHP-Code:

<?php
//
// PHP sollte als Modul laufen
//
function check_pw($u, $p) {
  ...
}

if (!isset($_SERVER['PHP_AUTH_USER']) 
 or !check_pw($_SERVER['PHP_AUTH_USER'],$_SERVER['PHP_AUTH_PW']))
{
    Header("WWW-Authenticate: Basic realm=\"My Realm\"");
    Header("HTTP/1.0 401 Unauthorized");
    echo "Text to send if user hits Cancel button\n";
    exit;
} else {
    echo "Hello $PHP_AUTH_USER.<P>";
    echo "You entered $PHP_AUTH_PW as your password.<P>";
}
?>

[swulff]

Danke, aber ich brauche es leider genau andersrum.
Ich möchte und kann nicht jedes einzelne Mitglied als http/htaccess-User einrichten, sonder über die Admin-Oberfläche für ein Verzeichnis genau einen User mit Passwort festlegen.
Einzelne User kann ich also nur auf der php-Ebene (über die Mitgliederdatenbank anlegen.

Habe inzwischen viel gesucht und nix gefunden, außer dass ich alle Bilder und downloads ein ein Verzeichniss mit htaccess-Schutz durchschleusen müsste, statt sie direkt in html zu verlinken.

Hat jemand dafür Beispielcode für mich?

Danke!

[Romanday]

Danke, aber ich brauche es leider genau andersrum.
Ich möchte und kann nicht jedes einzelne Mitglied als http/htaccess-User einrichten, sonder über die Admin-Oberfläche für ein Verzeichnis genau einen User mit Passwort festlegen.
Einzelne User kann ich also nur auf der php-Ebene (über die Mitgliederdatenbank anlegen.

Hat jemand dafür Beispielcode für mich?

Danke!

Das ist genau das, was Du gesucht hast. Du kannst den Code bloß nicht
verstehen und erweitern.

[Pingu]

Vielleicht eine dumme Frage: Wieso das Rad neu erfinden? Warum benutzt Du kein Standard-CMS?

Ich habe damals (vor 6 Jahren) auch alles selbst gemacht und bin gerade am überlegen wie ich alles auf ein Standard-CMS umstelle. Der Stand der Technik bei den CMS ist wirklich sehr fortgeschritten. Das schwierige ist nur das richtige zu finden.

Aber ich werde wohl ein einfaches CMS für die normalen Seiten und http://www.activecollab.com/ für die internen Sachen nutzen.

Pingu