Thomas: Passwortschutz mit Logfile

Hallo,

ich suche ein Programm um einen Memberbereich mittels .htaccess-Dateien (oder auch anders) automatisch zu schützen und zu verwalten.
Es sollte folgende Features besitzen:

  • automatische Anmeldung
  • Passwort-Wiederfindung, falls es vom User vergessen wurde
  • Admin-Tool zum anlegen, löschen und editieren von Usern
  • Eine Logfunktion, mit dessen Hilfe der Admin sehen kann, wann wer sich eingeloggt hat.

An dem letzten Punkt bin ich bei meiner Sucher verzweifelt.
Ich hoffe, jemand kann mir einen Tip für so ein kostenloses Script geben. Vielen, vielen Dank schonmal

Thomas

  1. Hallo,

    ich suche ein Programm um einen Memberbereich mittels .htaccess-Dateien (oder auch anders) automatisch zu schützen und zu verwalten.
    Es sollte folgende Features besitzen:

    • automatische Anmeldung
    • Passwort-Wiederfindung, falls es vom User vergessen wurde
    • Admin-Tool zum anlegen, löschen und editieren von Usern
    • Eine Logfunktion, mit dessen Hilfe der Admin sehen kann, wann wer sich eingeloggt hat.

    An dem letzten Punkt bin ich bei meiner Sucher verzweifelt.
    Ich hoffe, jemand kann mir einen Tip für so ein kostenloses Script geben. Vielen, vielen Dank schonmal

    Thomas

    Hoi
    das hoert sich ja fast nach nem richtigen Community-System an.
    Bin grad am rumwurschteln, sowas zu entwickeln.
    Gehoert auch ein Forum dazu und ein Chat soll auch mal her.
    Newssystem und Interne Messages wirds auch geben, nen Kalender und weitere nette Features.
    Nur teuer wirds werden, wenns denn mal fertig iss.

    Steht auch kurz vor der Vollendung, muessen nur noch Bugs rausgehaun werden, die meisten Bugs kenn ich schon, muss sie nur noch fertig machen.
    Zu testen unter: http://newavalon.dns2go.com
    Please not to much traffic *g* iss nur ne DSL Leitung

    Bis denn denn

    Draganis

  2. Hi,

    • Eine Logfunktion, mit dessen Hilfe der Admin sehen
      kann, wann wer sich eingeloggt hat.
      An dem letzten Punkt bin ich bei meiner Sucher
      verzweifelt.

    das ist auch kein Wunder. Denn dazu bräuchtest Du ein Session-Konzept, und das liefert Dir weder HTTP noch Server Authentication. Das mußt Du Dir selber bauen.

    Welche Benutzer auf welche Seiten zugegriffen haben, das steht hingegen durchaus in Deinem ganz normalen Webserver-Log (Spalte 2 des Log-Formats "Common").
    Nur ist das eben kein Transaktionsprotokoll - die Eintrage mit dem Benutzernamen "x" fangen einfach irgendwann an und hören irgendwann wieder auf.

    Wann der sich "angemeldet" hat, weißt Du aber nicht und kannst es auch gar nicht wissen. Denn das ist kein Bestandteil von HTTP. Der Browser muß zu jeder einzelnen Seitenanforderung eine gültige Authentifizierung mitsenden - der Webserver unterscheidet nicht, ob das ist erste, die zweiundvierzigste oder die letzte ist.
    Vor allem gibt es kein Kriterium dafür, daß die "letzte" auch wirklich genau das ist - es könnte jederzeit noch eine weitere Anforderung desselben Benutzers nachkommen, weil es eben kein "logout" gibt.

    Wenn zwischen zwei Zugriffen zwei Stunden Pause liegen, dann kannst Du nicht feststellen, ob der Benutzer in dieser Zeit seinen Browser offen stehen gelassen hat (der würde die im Dialog erfragte Authentifizierung bis zum Ende seines Programmlaufes speichern) oder nicht: Der Server merkt sich die durchgeführten Authentifizierungsprüfungen nicht, weil er keinen Bedarf dafür hat. Er bekommt allerdings durchaus mit, _daß_ sich ein Benutzer neu anmeldet - HTTP-Status 401 - aber er interessiert sich einfach nicht dafür, daß dies etwas Besonderes sein soll, weil es laut HTTP auch nichts Besonderes ist. Was Du willst, wäre als mininimale Erweiterung zu HTTP möglich - solange es Dir nur um die Neu-Anmeldungen geht. Logout "is nich".

    Vielleicht solltest Du Dir einen eigenen Webserver schreiben ... oder einen bestehenden modifizieren.
    Es könnte durchaus machbar sein, im Quelltext des Apache-Moduls "mod_auth" mal nachzusehen, wie die Status-401-Behandlung im Detail funktioniert - im Prinzip brauchst Du ja nur genau in diesem Moment eine Log-Meldung auszugeben. Das ist letzten Endes genau _ein_ Apache-API-Funktionsaufruf, denke ich mal, nur: Gewußt wo und welcher ...

    Viele Grüße
          Michael