Hallo!

Also wenn ich das jetzt alles richtig verstanden habe, möchtest Du gerne Sachen vereinbaren, die nicht vereinbar sind!

Mit der PHP-Authentifizierung erreichst Du _keinen_ Schutz äquivalent zu .htaccess. .htaccess schützt automatisch alles, nicht nur die PHP-Scripte. Per Basic-Authentification(also .htaccess) kommst Du nicht drum herum dass sich das Auth-Fenster jedesmal öffnet und Du nach dem Passwort gefragt wirst, wobei man das im Browser speichern kann und so nicht immer neu eingeben muß, ist eine Frage der Sicherheit.

Wenn Du nicht willst das man sich jedesmal authentifizieren muß, geht das nur über einen eigenen Mechanismus mit Hilfe von Cookies und Sessions. Dann mußt Du Dich aber um alles selber kümmern, und hast nur Deine Scripte geschützt (und das nur wenn Du das überall und sicher eingebaut hast), nicht Deine Bilder, .html, .pdf, etc.

Ist halt die Frage was Du jetzt genau brauchst, das konnte ich bisher nicht feststellen. Das einzige was klar ist - beides geht nicht. Entweder umfassender Schutz aller Datein mit dem Auth-Fenster bei jedem Login, oder eine bequemere, eigene Lösung, die nur die Scripte schützt und auch das nur so gut wie Du es implementiert hast. Es ist immer dasselbe, erhöhte Sicherheit geht fast immer zu Lasten der Bequemlichkeit.

Ist halt die Frage was Du Deinen Usern zumuten willst, und Du auf der anderen Seite für ein Schutzbedürfnis und Programmierkenntnise für eine eigene Lösung hast. Da mußt Du abwägen.

Die Speicherung der Zugangsdaten ist davon absolut unabhhängig, wenn Du entsprechnde Apache-Module verwenden kannst geht das wie schon geschrieben auch direkt in einer Datenbank, aber auch die "normalen" Flatfiles lassen sich schön mit PHP(etc.) bearbeiten, wenn das das Problem darstellen sollte.

Viele Grüße
Andreas

Moin moin Andreas,

danke für Deine "späte (Uhrzeit)" Information - ich mußte einfach mal schlafen.

Deine Ausführungen zu dem Thema "Datenbank" haben wieder einen Hoffnungsschimmer bei mir geweckt und ich beschreibe noch einmal, was die Aufgabe ist - wahrscheinlich habe ich mich kryptisch ausgedrückt:

a) ein User betritt per Datenbankabgleich seiner spezifischen Benutzerdaten einen (für viele User - aber nicht für die Öffentlichkeit) gleichgeltenden Informationsbereich. Hierzu benutzt er bereits "seine" spezifischen Userdaten. Dieses Verzeichnis ist allerdings derzeit (also während der Testzeit) noch nicht mit .htaccess geschützt. Deswegen funktioniert das auch.
b) in diesem allgemeinen Informationsbereich findet er Möglichkeiten des Zugriffs auf Informationen (z.B. Projektinformationen), die NUR ihn was angehen - er könnte also theoretisch einfach weiterarbeiten, ohne erneut Benutzerdaten einzugeben, wenn da nicht das Problem wäre.
c) Selbst wenn er "SEINEN" Bereich durch nochmalige Eingabe seiner Benutzerdaten betreten hat, führt immer noch jeglicher Aufruf neuer Seiten in diesem Bereich zur .htaccess gesteuerten Abfrage (tausendmal ausprobiert).
d) da die angetroffene Benutzer-/Systemumgebung die Verwendung von Cookies NICHT erlaubt, muss ein anderer Weg gefunden werden, um nicht bei jedem Seitenwechsel jedesmal die Benutzerdaten erneut eingeben zu müssen.

Das muss doch irgendwie gehen. Wenn ich mir zum Beispiel "gmx" ansehe, dann betritt der Anwender seinen Bereich und kann darin problemlos OHNE Cookies navigieren. Gleiches gilt für eine Vielzahl anderer Anbieter. Auch wird ein "allgemeingültiger" Bereich betreten, um dann in individuelle Informationsangebote (z.B. e-mail) zu wechseln.

Vielleicht hab eich das Thema jetzt umfassend beschrieben.

Ich danke nochmals für jegliche Hilfe.

Gruß

Hermann