x-herbert: Ablauf der HTTP-Authentifizierung

Beitrag lesen

Moin Christian,

... ist also noch nicht das gelbe vom Ei.

Es sei denn, Du tauscht alle Links dynamisch aus...

phuu.. ist mir zu viel Arbeit ;-) => werd´s aber im Hinterkopf behalten..

  • kann man die Authentifizierung per Coockie an den Browser senden?

Nein. Wie stellst Du Dir das denn vor?

»»
Ich denke schon: siehe http://fiatlux.zeitform.info/anleitungen/zugriffsbeschraenkung.html#mod_auth_cookie
Soweit ich das verstanden habe, sollte folgendes möglich sein: ich setze in meinem "Session-Script" einen Cookie (mit usr:pass) und leite dann an das geschützte Verzeichnis weiter => sofern der User keine Cookies aktzeptiert, muss er sich mit der Authentifizierungsmaske rumschlagen - wenn Cookies akteptiert werden, hat er "freie Fahrt" auf das Verzeichnis. Damit nicht alle User das gleiche "usr:pass" verwenden ("müssen") könnte man hier noch eine Variation einbauen und die Daten für den Login ("Session-Script") für die .htpassw verwenden oder schöner einen Zugriff über mod_auth_mysql... werde die Sache mal probieren => geht aber erst heute Nachmittag/Abend

  • welche Möglichkeiten gibt es noch ein Verzeichnis zu schützen (insbesondere bei Dateien wie JPG/PDF/ZIP u.ä.) mit PHP/Perl/Python

Ganz einfach: Stecke die Dateien in ein für den Webserver unzugänglichen Bereich (kann auch ein Deny From all sein) und schreibe ein Script, das sie nur bei korrekter Session + Benutzerkennung in der Session »durchschleift«. (fpassthru)

»»

hmmm... der Schutz mit dem "Deny,Allow" hat irgendwie nicht so richtig funktioniert (vielleicht liegt es an der Apacheimplementierung - die ich nicht ändern kann..) Ich habe mir mal die Beispiele im PHPManual zu fpassthru angesehen - so richtig auf den Trichter bin ich für eine Lösung "meines" Problems nicht gekommen. Vielleicht hast Du noch ein, zwei Infos für mich, wie Du das meinst...

Gruss x-herbert