nicht angemeldet
Hello Tom,
- Autentifizierung
- Autorisierung
Mit .htaccess kannst Du nur 1. implementieren.
Was ist denn dann "require valid user" ?
Das ist 1., die Autentifizierung
Und wenn Du nun für bestimmte limits nur bestimmte User zulässt?
Was ist das dann?
Das würde ich unter "Autorisierung" einordnen. Mittlerweile ist mir dazu auch noch ein Vergleich eingefallen (alle Vergleiche hinken):
Ein Benutzer loggt sich mit telnet oder ssh auf einer LINUX-Kiste ein. Das ist die Autentifizierung.
Die Autorisierung hingegen beschreibt folgenden Sachverhalt: In seinem Home-Verzeichnis kann Benutzer alles machen, in den Verzeichnissen anderer Benutzer jedoch nichts, es sei denn, andere Benutzer oder root erlaubt es.
Bekanntlichermaßen gibt es unter LINUX die Berechtigungen Lesen, Schreiben, Ausführen für Dateien (und Verzeichnisse), die entweder an den Owner, eine Gruppe oder an Alle gebunden sind.
Genau sowas, oder sowas ähnliches lässt sich auch in Webanwendungen hineinbauen, abstrakt: Benutzer kommt rein (Autenti), aber was er darf oder nicht darf (Autori) ist anderweitig festgelegt.
Schon ist es möglich, sowas in der Art alleine mit .htaccess zu machen, aber ob das sinnvoll und überhaupt überschaubar ist, ist eine andere Geschichte.
Für die hier geschilderte Problemstellung empfehle ich eine eigens geschriebene Benutzerverwaltung mit klarer Trennung von Anmeldung und Autorisierung.
Viele Grüße zum Berg,
Hotte