Hallo!

Also wenn ich das jetzt alles richtig verstanden habe, möchtest Du gerne Sachen vereinbaren, die nicht vereinbar sind!

Ich denke, dass das verinbar ist.

Ich hatte das so verstanden er woll nicht das die Besucher bei jedem neuen _Besuch_ Ihre Daten neu eingeben müssen, nicht auf jeder Seite ;-)

Mit der PHP-Authentifizierung erreichst Du _keinen_ Schutz äquivalent zu .htaccess. .htaccess schützt automatisch alles, nicht nur die PHP-Scripte. Per Basic-Authentification(also .htaccess) kommst Du nicht drum herum dass sich das Auth-Fenster jedesmal öffnet und Du nach dem Passwort gefragt wirst, wobei man das im Browser speichern kann und so nicht immer neu eingeben muß, ist eine Frage der Sicherheit.

Wenn ich einmal einen "401-Dialog" ausgefüllt habe, bleiben die Authdaten für das Fenster und alle seine Kinder solange im Browser gespeichert, bis es geschlossen wird.

klar! .htaccess und die PHP-Metzhode haben aber einen wichtigen Unterschied: die PHP-Methode funktioniert ja nur in jemdem PHP Script, in dem Du die PHP-Umgebungsvariablen "manuell" prüfst. ALLES andere ist nicht geschützt, so alle .html, .pdf, .jpg, ... Bei .htaccess werden _alle_ HTTP-Anfragen geschützt werden! Es kommt halt drauf an was man braucht. Der Vorteil der HTTP Auth-Methode in PHP ist im Gegensatz zu anderen Lösungen mit PHP insofern gut, da man hier weder Cookies noch Sessions braucht. Aber das ist auch der einzige Vorteil.

Wenn ich mich also gleich im ersten Fenster autentifiziere, gelten die Authdaten solange, bis wieder ein 401 geschickt wird. Der wird aber von .htaccess nur dann geschickt, wenn die Authdaten ungültig sind oder das Fenster eben keine hat.

Da die Authdaten $HTTP_SERVER_VARS["PHP_AUTH_USER"] und $HTTP_SERVER_VARS["PHP_AUTH_PW"] dann in jedem Script, dass vom gelichen oder untergeordneten Fenstern des Browsers aufgerufen wird, zur Verfügung stehen, kann man die auch für die Datenbankanmeldung mittels wwwrun (PHP) und dem Befehl
$conn = mysql_connect($hostname,$HTTP_SERVER_VARS["PHP_AUTH_USER"],$HTTP_SERVER_VARS["PHP_AUTH_PW"]); an MySQL benutzen. Hier findet ja keine persistente Anmeldung statt, sondern jedes Script muss erneut einen Connect herstellen.

Klar! Daher ist .htaccess auch besser, da diese hier wegfällt, bzw. erheblich performanter vom Apachen erledigt wird.

Viele Grüße
Andreas

Hallo!

Bitte nicht immer den ganzen Beitrag zitieren, so wie Du das machst kannst Du das besser löschen.

a) ein User betritt per Datenbankabgleich seiner spezifischen Benutzerdaten einen (für viele User - aber nicht für die Öffentlichkeit) gleichgeltenden Informationsbereich.

Wie betritt man einen Bereich "per Datenbankabgleich"? Heißt das Du hast ein  Unterzeichnis, welches nur bestimmten Usern zur Verfügung stehen soll, also müssen die User sich authentifizieren. Das geht wie ich bereits geschrieben habe über .htaccess oder eine eigene PHP-Lösung.
Ob Du die Zugangsdatn bei einer .htaccess Lösung in der Datenbank ablegen kannst hängt davon ab ob Du das entsprechnde Apache-Modul installiert hast/installieren kannst. Sonst bleibt nur eien .txt oder eien komplette Eigenlösung in PHP, da mußt Du dann auf jeder zu schützenden Seite am Anfang des Scriptes manuell prüfen ob die Userdaten korrekt sind. Hiermit würdest Du aber nur .php Dateien schützen können, kein .doc, .jpg, .pdf, .html,... usw.

Hierzu benutzt er bereits "seine" spezifischen Userdaten. Dieses Verzeichnis ist allerdings derzeit (also während der Testzeit) noch nicht mit .htaccess geschützt. Deswegen funktioniert das auch.

b) in diesem allgemeinen Informationsbereich findet er Möglichkeiten des Zugriffs auf Informationen (z.B. Projektinformationen), die NUR ihn was angehen - er könnte also theoretisch einfach weiterarbeiten, ohne erneut Benutzerdaten einzugeben, wenn da nicht das Problem wäre.

Wo ist das Problem? Denk daran das .htaccess nurt das eigene Verzeichnis und dessen Unterverzeichnisse schützt. Bei eine .htaccess Lösung steht Dir in PHP z.B, die Umgebungsvariable $_SERVER["REMOTE_USER"] zur Verfügung. Diese Variable enthält den aktuell eingeloggten Usernamen. Die Frage ist etzt, wo und wie stellste Du was zur Verfügung. Also stellst Du Projekte als .xls-Dateien zur Verfügung? Oder alles auf PHP Basis? Das ist mal das erste was geklärt werden muß. Mußt Du andere Dateien als PHP-Dateien schützen?

c) Selbst wenn er "SEINEN" Bereich durch nochmalige Eingabe seiner Benutzerdaten betreten hat, führt immer noch jeglicher Aufruf neuer Seiten in diesem Bereich zur .htaccess gesteuerten Abfrage (tausendmal ausprobiert).

Naja, das kann  ich mir nicht vorstellen. Schreib mal Deine Verzeichnisstruktur auf, in der sich die User bewegen solen, und wo Du überall genau was für .htaccess Dateien hast.

d) da die angetroffene Benutzer-/Systemumgebung die Verwendung von Cookies NICHT erlaubt, muss ein anderer Weg gefunden werden, um nicht bei jedem Seitenwechsel jedesmal die Benutzerdaten erneut eingeben zu müssen.

OK, fällt das aus, aber da bliebe noch der Weg über die PHP-Authentification wie Thomas es beschreiben hat, und Sessions.

Das muss doch irgendwie gehen. Wenn ich mir zum Beispiel "gmx" ansehe, dann betritt der Anwender seinen Bereich und kann darin problemlos OHNE Cookies navigieren. Gleiches gilt für eine Vielzahl anderer Anbieter. Auch wird ein "allgemeingültiger" Bereich betreten, um dann in individuelle Informationsangebote (z.B. e-mail) zu wechseln.

Die machen das mit Sessions, vermutlich nicht mit PHP, ist aber dasselbe:
http://www.dclp-faq.de/q/q-sessions-zweck.html
http://www.dclp-faq.de/ch/ch-version4_session.html

Vielleicht hab eich das Thema jetzt umfassend beschrieben.

Schon besser, aber noch nicht genug(für mich). Löse Dich mal ein bisschen von dem Zwang die Authentifizierungsdatzen aus der Datnebank auslesen zu _müssen_. Du mußt nur die Usernamen uin der Datenbank stehen haben, um ggfs mit dem eingeloggten Usernamen vergleichen zu können. D.h. Du hast für .htaccess eien .htpasswrd, in der stehen Passwört:

andreas:asdhais435s
Thomas:q343qeasdfa
Hermann:a98s7dausda

in der Datenbnak hast DU die Tabelle Projekte, darin steht:

projekt_id | projekt_name | user
-----------+--------------+----------
1          | Projekt1     | Hermann
2          | Prpjekt xy   | Thomas
...

Dann machst Du normal einen Login mut der .htaccess über die Passwortdatei, und im PHP Script zeigst Du nur die projekte an, die dem aktuellen  User gehören, also

SELECT * FROM projekte WHER user = '".$_SERVER["REMOTE_USER"]."';

Funktionierr den .htaccess _überhaupt_ bei Dir? Also wenn Du ein Testverzeichnois 1 .htaccess und 2 Dateien hast, kannst Du dich da anmelden und beide Dateien ohne erneute Anmeldung aufrufen? Wenn ja, was ist in Deiner Konfiguration anders?

Viele Grüße
Andreas

PS: Hatte keine Lust mehr Rechtschreibfehler zu korregieren, sorry ;-)

Hi Hermann,

a) ein User betritt per Datenbankabgleich seiner
spezifischen Benutzerdaten einen (für viele User -
aber nicht für die Öffentlichkeit) gleichgeltenden
Informationsbereich. Hierzu benutzt er bereits
"seine" spezifischen Userdaten. Dieses Verzeichnis
ist allerdings derzeit (also während der Testzeit)
noch nicht mit .htaccess geschützt. Deswegen
funktioniert das auch.

und deswegen funktioniert der Rest _nicht_.

Schütze auch dieses Verzeichnis bereits mit .htaccess,
durch die Prüfung von "valid-user".
Hier und jetzt _muß_ der Anwender gezwungen werden,
sich via Server Authentication einzuloggen - in allen
nachfolgenden Zugriffen wird _dann_ seine Benutzerken-
nung von Deinen PHP-Skripten über die CGI-Schnittstelle
weiter verarbeitet werden können.

b) in diesem allgemeinen Informationsbereich findet
er Möglichkeiten des Zugriffs auf Informationen
(z.B. Projektinformationen), die NUR ihn was angehen

• er könnte also theoretisch einfach weiterarbeiten,
  ohne erneut Benutzerdaten einzugeben, wenn da nicht
  das Problem wäre.

Das Problem besteht darin, daß Du die Logik einer
Client-Server-Kommunikation und das Wesen der HTTP
Authentication noch nicht verstanden hast.

HTTP Authentication, also das, was Du ".htaccess"
nennst, funktioniert so, daß der Browser (!) bei jedem
Zugriff auf eine Seite die in seinem Arbeitsspeicher
gespeicherten credentials immer wieder mitsendet (ohne
daß dies dem Besucher bewußt ist).

Dazu muß er sie aber zuallererst einmal haben! Und das
schaffst Du nicht mit einer wie auch immer gearteten
serverseitigen Logik, sondern nur mit der Verwendung
von HTTP Authentication. Alle Versuche, mit PHP oder
mySQL irgendwas serverseitig zu tun, sind zum Scheitern
verurteilt. Es geht _nur_ anders herum.

c) Selbst wenn er "SEINEN" Bereich durch nochmalige
Eingabe seiner Benutzerdaten betreten hat, führt
immer noch jeglicher Aufruf neuer Seiten in diesem
Bereich zur .htaccess gesteuerten Abfrage
(tausendmal ausprobiert).

Das verstehe ich nicht. Da müßte ich ein Beispiel zum
Ansehen haben. Welchen Realm Name liefert Dein Server
denn für diese Seiten aus?
Besitzt Du ein Werkzeug, mit dem Du die HTTP-Header der
von Dir ausgelieferten Seiten lesen kannst?
(http://www.schroepl.net/cgi-bin/http_trace.pl)

d) da die angetroffene Benutzer-/Systemumgebung die
Verwendung von Cookies NICHT erlaubt, muss ein
anderer Weg gefunden werden, um nicht bei jedem
Seitenwechsel jedesmal die Benutzerdaten erneut
eingeben zu müssen.

Die Erwähnung von Cookies war ein Irrweg, der auf
Deiner nicht wirklich transparenten Problembeschrei-
bung basierte. Vergiß diese Idee wieder.

Das muss doch irgendwie gehen. Wenn ich mir zum
Beispiel "gmx" ansehe, dann betritt der Anwender
seinen Bereich und kann darin problemlos OHNE
Cookies navigieren.

Ja - aber GMX verwendet dann auch keine HTTP Authen-
tication, sondern ein eigenes Session-Protokoll.
Wenn Du das willst, dann vergiß .htaccess komplett
und lies Dich in das Session-Handling von PHP ein.

Viele Grüße
      Michael

P.S.: Eine fertige Lösung für Dein Problem ist solange
      nicht möglich, wie Dein Problem immer noch nicht
      exakt beschrieben ist.