Login für Mitgliederbereich/ Sessions/ Zugriffsschutz

[swulff]

Hallo allerseits!

Ich bin neu hier und hoffe, dass ich nicht gleich mit allzu naiven Fragen unangenehm auffalle. Ich beschäftige mich seit rund einem Jahr recht intensiv mit PHP-Programmierung, staune aber immer noch wieder, welch elegante Wege es manchmal gibt, auf die ich nie oder kaum gekommen wäre ...

Aber zur Sache:
Auf unserer Vereinshomepage gibt es einen Mitgliederbereich. Der Zugang ist bisher ganz schlicht über Verzeichnisschutz (htaccess) mit gemeinsamem Login für alle Mitglieder gelöst.
Nun haben wir vieles auf dynamische Inhalte umgebaut und erweitert und wollen den Mitgliedern auch einen persönlichen Login ermöglichen.

Das grundsätzliche Realisieren des Logins und der Umgang mit Sessions ist mir einigermaßen klar. Ein bisschen was läuft auch schon so.

Aber: Was muss ich tun, um den Mitgliederbereich weiterhin effizient zu schützen? Denn den htaccess-Schutz muss ich doch vermutlich aufheben, damit sich die Mitglieder nicht doppelte anmelden müssen?

Über sachdienliche Hinweise wäre ich wirklich sehr froh.

Vielen Dank im Voraus,
Stefan

[Romanday]

Aber: Was muss ich tun, um den Mitgliederbereich weiterhin effizient zu schützen? Denn den htaccess-Schutz muss ich doch vermutlich aufheben, damit sich die Mitglieder nicht doppelte anmelden müssen?

Jedes Mitglied bekommt einen eindeutigen Usernamen + PW + Rechte.
Kommt ein neues Mitglied hinzu, wird abgefragt ob es diesen user
schon gibt.

Du könntest auch noch ein Profil temporär mitloggen, um auszuschließen
das 1 User sich gleichzeitig auf mehreren verschiedenen Clients einloggt.

Das kann man aber immer noch später machen.

Am einfachsten geht das mit einer DB nach Wahl.

Poste mal bitte den Link zur freiwilligen Feuerwehr. (Neugier..)

[swulff]

Die freiwillige Feuerwehr ist www.clazz.de

Im öffentlichen Bereich ist aber nicht nicht viel wirklich dynamisches drin und außerdem nicht mein Zuständigkeitsbereich :-)

Aber: Es geht mir nicht drum, dass sich 1 Mensch mehrfach parallel anmeldet, sondern darum, dass er

1. Username und Passwort eingeben muss um den Verzeichniszugang (htaccess) zu bekommen und dann
2. Username und Passwort für die PHP-Sesssion eingeben muss.

Ohne htaccess habe ich aber keinen Zugriffsschutz für meine Dateien im Mitgliederbereich.

Viele Grüße,
Stefan

[Pingu]

Vielleicht eine dumme Frage: Wieso das Rad neu erfinden? Warum benutzt Du kein Standard-CMS?

Ich habe damals (vor 6 Jahren) auch alles selbst gemacht und bin gerade am überlegen wie ich alles auf ein Standard-CMS umstelle. Der Stand der Technik bei den CMS ist wirklich sehr fortgeschritten. Das schwierige ist nur das richtige zu finden.

Aber ich werde wohl ein einfaches CMS für die normalen Seiten und http://www.activecollab.com/ für die internen Sachen nutzen.

Pingu

[Romanday]

Die freiwillige Feuerwehr ist www.clazz.de

Viele Grüße,
Stefan

Hübsche Page.

PHP-Code:

<?php
//
// PHP sollte als Modul laufen
//
function check_pw($u, $p) {
  ...
}

if (!isset($_SERVER['PHP_AUTH_USER']) 
 or !check_pw($_SERVER['PHP_AUTH_USER'],$_SERVER['PHP_AUTH_PW']))
{
    Header("WWW-Authenticate: Basic realm=\"My Realm\"");
    Header("HTTP/1.0 401 Unauthorized");
    echo "Text to send if user hits Cancel button\n";
    exit;
} else {
    echo "Hello $PHP_AUTH_USER.<P>";
    echo "You entered $PHP_AUTH_PW as your password.<P>";
}
?>

[swulff]

Danke, aber ich brauche es leider genau andersrum.
Ich möchte und kann nicht jedes einzelne Mitglied als http/htaccess-User einrichten, sonder über die Admin-Oberfläche für ein Verzeichnis genau einen User mit Passwort festlegen.
Einzelne User kann ich also nur auf der php-Ebene (über die Mitgliederdatenbank anlegen.

Habe inzwischen viel gesucht und nix gefunden, außer dass ich alle Bilder und downloads ein ein Verzeichniss mit htaccess-Schutz durchschleusen müsste, statt sie direkt in html zu verlinken.

Hat jemand dafür Beispielcode für mich?

Danke!

[Romanday]

Danke, aber ich brauche es leider genau andersrum.
Ich möchte und kann nicht jedes einzelne Mitglied als http/htaccess-User einrichten, sonder über die Admin-Oberfläche für ein Verzeichnis genau einen User mit Passwort festlegen.
Einzelne User kann ich also nur auf der php-Ebene (über die Mitgliederdatenbank anlegen.

Hat jemand dafür Beispielcode für mich?

Danke!

Das ist genau das, was Du gesucht hast. Du kannst den Code bloß nicht
verstehen und erweitern.

[swulff]

Das ist genau das, was Du gesucht hast. Du kannst den Code bloß nicht
verstehen und erweitern.

Danke für diesen sehr hilfreichen Kommentar

Gut, dann schreibe ich mal auf, was ich verstehe:

- Wenn keine http-Anmeldung besteht (kein httpauth-User) oder der HttpAuth-User kein gültiger php-User ist dann wird der Http-Anmeldedialog angezeigt.

Damit gewinne ich aber überhaupt nichts.

Nochmal:
Ich möchte
- 1 httpauth-User
- viele verschiedene php-User

aber nur eine Anmeldung.

Ich kann beim besten willen nicht erkennen, wie das mit dem Beispielcode gehen soll. Das einzige was damit gewährleistet ist, ist, dass der httpAuth-User auch in php angemeldet wird.
Damit habe ich aber wieder nur genau einen User und kann mir das auch schenken...

[Romanday]

Damit habe ich aber wieder nur genau einen User und kann mir das auch schenken...

Was sind Variablen, und wie weist man ihnen einen Wert zu?
Welche Variablen sind in dem Script dafür zuständig?
Wie gesagt, helfen ja, unterrichten nicht. (das dauert sonst
zu lange.)

Vielleicht reicht dir so etwas:
http://www.sebflipper.com/?page=code...sswd_maker.php

[swulff]

function check_pw($u, $p) {
if (($u == "test")&&($p == "test")) {
return true;
}else{
return false;
}
}

ansonsten exakt Dein Beispiel.
a) Die php-Datei liegt in einem ansonsten ungeschützten Verzeichnis auf dem Server
-> Funktioniert wie erwartet. User test und Pw test eingeben, Seite wird angezeigt.

b) Die Datei liegt ein einem geschützten Verzeichnis. Das Verzeichnis ist per .htaccess mit (Beispiel) dem User "peter" und dem Kennwort "passwort" geschützt
-> Dialog zur Passworteingabe erscheint insgesamt vier mal. Dann kommt der "Cancel"-Text. Ich habe keine Kombination der beiden User/PW-Kombinationen gefunden, mit denen der Login gelingt. Außerdem soll es ja nur 1 Login sein.

Kann das daran liegen, dass PHP auf dem Server nicht als Modul läuft? (Wie stelle ich das fest? Ansonsten funktioniert das Prinzip nicht.

[Romanday]

Kann das daran liegen, dass PHP auf dem Server nicht als Modul läuft? (Wie stelle ich das fest? Ansonsten funktioniert das Prinzip nicht.

Das siehst du doch wenn du phpinfo() aufrufst, oder auch in der Indianer
Konfiguration.
Die Datei mit den PW kannst du doch außerhalb von public_html plazieren,
zwar nicht die beste Lösung aber für den Anfang reicht das.

Habe die Software nicht installiert. Sollte ja nur eine Anregung sein, da
Du dir selber etwas basteln wolltest.