Hello,

also der Hintergedanke bei der Session über eine htaccess ist, das ich durch login geschütze Bereiche habe. Dort wird über die session eine bestimmte variable mitgeführt, welche die scriptanzeige überhaupt erst zulässt. nun gibt es ja auch ganz schlaue die meinen die seite über rechts klick bookmarken zu müssen. normaler weise passiert ja auch nix, es sein denn eine session ist nicht korrekt beendet worden. dann kann man trotzdem "quereinsteigen" und den login umgehen. und das will ich eben verhindern.

Wie Du das mit dem Quereinsteigen meinst, kann ich nicht nachvollziehen. Wenn Surfer A eine Session aufbaut und sich anmeldet, dann hat er eine autentifizierte Session. Das bedeuet, dass ihn Dein System für die Dauer dieser Session verfolgen kann (Session Tracking) und ihm auf jeder Seite, die über einen entsprechenden Mechanismus verfügt, Daten (und damit Rechte) zuordnen kann.

Tritt dieser Surfer A nun in ein mit htaccess geschütztes Verzeichnis, werden die von ihm mitgelieferten Credentials Username:Password vom Apachen gecheckt und wenn sie nicht stimmen oder nicht da sind per Fehler 401 angefordert. Wenn der Browser schlau ist, merkt er sich diese nun für dieses Verzeichnis zusätzlich zu den schon vorhandenen von der autentifizieren Session. Darauf würde ich mich aber nicht verlassen.

Wenn nun Surfer B kommt, hat er keine Useranmeldung und keine Verzeichnisanmeldung. Er kommt mit HTTP also auch nicht in das Verzeichnis hinein. Er müsste die Credentials von A finden oder fälschen, dann könnte auch er zugreifen - oder eben eigene haben, die passen.

Wen Du ein vernünftiges Rechtesystem aufbaust, dann benötigst Du auch kein htaccess mehr. Die Inhalte liegen dann irgendwo außerhalb der Document Root in einem Verzeichnis, das mit HTTP gar nicht erreichbar ist. Deine Engine sorgt dann dafür, dass nur autorisierte User die entsprechenden Daten ausgeliefert bekommen.

Wie man Sessions mit Auth401 bauen kann, kann ich Dir bei Bedarf posten.

Grüße

Tom

Grüße

Tom