Christin: Loginformular auf Mitglieder beschränken

Hallo an alle und ein frohes neues Jahr!

ich würde gerne einen Login-Bereich auf meiner Webseite platzieren, bei dem sich Teilnehmer einloggen können, die ihre Zugangsdaten bereits im Vorfeld erhalten haben.

Ich habe etwas von dem Einbinden einer htacess-Datei gelesen, bin allerdings überfragt wie ich sowas meinem CMS hinzufügen kann.

Per Javascript bekomme ich einen unsicheren Passwort"schutz" schon hin, aber der Schutz ist eben quasi nicht existent.

Gibt es vielleicht noch eine einfachere Variante per HTML festzulegen, dass nur bestimmte E-Mail-Adressen samt Passwort erlaubt sind, oder kennt ihr vertrauenswürdige Anbieter, die so ein fertiges Tool anbieten, ohne dass die Daten auf dem anderen Ende der Welt landen?

Ich bin durch Zufall auf eine Seite gekommen, die zwar tolle Codes für Anmeldeformulare bereithält, aber hierbei kann sich jeder anmelden, da sich das Ganze auf einen Newsletter und nicht etwa einen Login bezieht.

Würde mich über Tipps von euch freuen! LG Christin

  1. Servus!

    Hallo an alle und ein frohes neues Jahr!

    ich würde gerne einen Login-Bereich auf meiner Webseite platzieren, bei dem sich Teilnehmer einloggen können, die ihre Zugangsdaten bereits im Vorfeld erhalten haben.

    Ich habe etwas von dem Einbinden einer htacess-Datei gelesen, bin allerdings überfragt wie ich sowas meinem CMS hinzufügen kann.

    Dafür benötigst du die Rechte, selbst Dateien auf Deinen Server hochladen zu dürfen.

    Per Javascript bekomme ich einen unsicheren Passwort"schutz" schon hin, aber der Schutz ist eben quasi nicht existent.

    Eben, lass es!

    Gibt es vielleicht noch eine einfachere Variante per HTML festzulegen, dass nur bestimmte E-Mail-Adressen samt Passwort erlaubt sind, oder kennt ihr vertrauenswürdige Anbieter, die so ein fertiges Tool anbieten, ohne dass die Daten auf dem anderen Ende der Welt landen?

    Nein, du musst auf Deinem Server (evtl. in einer Datenbank) eine Liste Deiner Mitglieder nebst Email-Adressen haben. Beim Einloggen wird dann das eingegebene Passwort mit dem verschlüsselt gespeicherten Passwort verglichen.

    Ich bin durch Zufall auf eine Seite gekommen, die zwar tolle Codes für Anmeldeformulare bereithält, aber hierbei kann sich jeder anmelden, da sich das Ganze auf einen Newsletter und nicht etwa einen Login bezieht.

    Du könntest die Anmeldeseite verstecken, so dass nicht jeder das Eingabefeld auf der Startseite sieht. Die Verwaltung Deiner Mitglieder nebst Passwörtern must du aber eben serverseitig machen, damit niemand reingucken kann.

    Herzliche Grüße

    Matthias Scharwies

    --
    Einfach mal was von der ToDo-Liste auf die Was-Solls-Liste setzen.“
  2. Hallo Christin,

    Hallo an alle und ein frohes neues Jahr!

    danke, dir ebenso.

    ich würde gerne einen Login-Bereich auf meiner Webseite platzieren, bei dem sich Teilnehmer einloggen können, die ihre Zugangsdaten bereits im Vorfeld erhalten haben.

    Also keine Online-Registrierung für neue Teilnehmer, sondern "nur" eine Zugangskontrolle.
    Das macht's aber leider kaum einfacher.

    Die schlechte Nachricht voran: Mit HTML allein ist das nicht möglich, mit Javascript auch nicht wirklich, wie du schon herausgefunden hast. Das liegt daran, dass beides im Browser des Besuchers abläuft, wo jeder halbwegs routinierte Nutzer "hinter die Kulissen schauen" und Daten manipulieren kann.

    Ich habe etwas von dem Einbinden einer htacess-Datei gelesen

    Ja, die .htaccess (mit Punkt am Anfang) ist eine Konfigurationsdatei für den Webserver. Darin können, soweit der Hosting-Anbieter das zulässt, bestimmte Server-Einstellungen lokal (also für ein ausgewähltes Verzeichnis) verändert werden.

    Ein Zugangsschutz mit Benutzername und Passwort ist eine typische Einstellung, die gern über eine .htaccess-Datei realisiert wird. Wie das geht, ist in groben Zügen in einem Artikel in unserem Wiki beschrieben. Der setzt allerdings schon gewisse Vorkenntnisse voraus.

    bin allerdings überfragt wie ich sowas meinem CMS hinzufügen kann.

    Gutes Stichwort. Ich kenne mich selbst zwar mit keinem CMS aus, aber ich meine zu wissen, dass die meisten auch eine Benutzerverwaltung und Login-Funktion als Baustein mitbringen, den man "nur" benutzen muss. Die machen das aber meist nicht mit der .htaccess-Zugriffskontrolle, sondern einem anderen Konzept. Dabei spielt eine Programmiersprache eine Rolle, die auf dem Server läuft, meist PHP.

    Wenn du uns verraten magst, welches CMS bei dir im Einsatz ist, findet sich vielleicht jemand, der dir erklären kann, wie man ein Benutzer-Login damit umsetzen kann.

    Per Javascript bekomme ich einen unsicheren Passwort"schutz" schon hin, aber der Schutz ist eben quasi nicht existent.

    Eben. Der ist ungefähr so, als würde man die Haustür abschließen und den Schlüssel an einen Haken neben der Tür hängen. 😉

    Ich bin durch Zufall auf eine Seite gekommen, die zwar tolle Codes für Anmeldeformulare bereithält, aber hierbei kann sich jeder anmelden, da sich das Ganze auf einen Newsletter und nicht etwa einen Login bezieht.

    Naja, da müsstest du ja "nur" (schon wieder!) den Teil des Codes identifizieren, der eine Neu-Registrierung eines Benutzers macht, und diesen Teil abzwacken. Hört sich einfach an, ich weiß.

    Ich glaube aber, mit der CMS-eigenen Lösung wärst du besser bedient - vorausgesetzt, dass es die gibt.

    Immer eine Handbreit Wasser unterm Kiel
     Martin

    --
    Wenn ich den See seh, brauch ich kein Meer mehr.
  3. Hallo Christin,

    zusätzlich zu dem bisher geschriebenen...

    Man unterscheidet zwischen Authentication und Authorization. Authentication befasst sich damit, die Person, die vor dem Browser sitzt, eindeutig zu identifizieren.

    Anhand dieser Identifikation folgt der zweite Schritt: Einräumen von Rechten für die identifizierte Person. Das ist Authorization.

    Beachte, dass es zwei Arten von Logins gibt. Matthias hat beide verlinkt.

    (1) HTTP Login - das wird in der .htaccess konfiguriert und lässt sich unabhängig von einer bestehenden Serverprogrammierung einstellen. Man kann damit Dateien, Dateigruppen oder ganze Ordner gegen unbefugten Zugang schützen.

    Informationen gibt's dazu außer im Selfwiki auch im (englischen) Confluence Wiki von Apache, und für hartgesottene gibt's auch die komplette Apache-Doku.

    Natürlich nur unter der Voraussetzung, dass dein CMS von einem Indianer angetrieben wird, und nicht von einem anderen Webserver. Andere Webserver verwenden ggf. andere Mechanismen für eine HTTP Authentication.

    (2) Formular-Login - das wird in einer Anwendung programmiert und hat mit der .htaccess nichts zu tun. Bei einem Formular-Login muss man serverseitig programmieren und benötigt eine Sessionverwaltung. Die Anwendung authentifiziert den Benutzer beispielsweise an Hand von User-ID und Passwort (es könnte auch eine Mobiltelefonnummer sein, an die eine Kontroll-SMS geschickt wird) und erzeugt dann eine Session (repräsentiert durch einen Session-Cookie), in der der identifizierte Benutzer gespeichert ist.

    Ist der Login gelungen, kann man dem erkannten Benutzer Rechte einräumen. Das ist die Autorisierung. Apache kann das von Hause aus für Dateien und Verzeichnisse tun. Aber im Request-Context findet sich auch für Anwendungen der Name des angemeldeten Users (PHP: $_SERVER['REMOTE_USER'], so dass man auch mit einem HTTP Login Benutzerrechte in der Anwendung verwalten kann

    Wichtiger Punkt: Ein CMS, das seinen Namen verdient, bringt sowas normalerweise bereits fertig mit. Wieso bist Du in der Situation, selbst etwas bauen zu müssen?

    Rolf

    --
    sumpsi - posui - obstruxi
    1. Wichtiger Punkt: Ein CMS, das seinen Namen verdient, bringt sowas normalerweise bereits fertig mit.

      Wieso sollte es? Wenn der Ersteller keinen Wert auf diese Funktionalität legt und sein CMS lieber klein, schnell und sicher lässt kann er es doch bei der Verwaltung des Inhalts belassen? „Content Management System“ behauptet doch nur das...

  4. bin allerdings überfragt wie ich sowas meinem CMS hinzufügen kann.

    Hm. Ich auch.

    Schreibst Du selber eines oder meinst Du „das von Dir das benutzte“? Wenn Du Tor 2 wählst und uns einen Tipp gibst weiß vielleicht jemand die Lösung oder womöglich kann Dir derselbe und/oder ein anderer nach einem Blick ins Handbuch sagen, wo die Lösung steht.

    1. Herzlichen Dank an alle eure Antworten!

      Ich benutze derzeit noch TYPO3, möchte davon aber in absehbarer Zeit wegkommen.

      Generell gibt es bei TYPO3 ein Anmeldeformular und Zugriffsbeschränkungen. Bei mir erscheint nur leider nichts, sobald die entsprechende Seite aufgerufen wird. Das ist ein Problem, mit dem ich mich auch schon bei TYPO3 selbst und an das Forum dort gewendet habe, aber keine Lösung finden konnte, deshalb wollte ich mich nach einer Alternative umsehen.

      Kennt ihr denn vielleicht ein vergleichbares Tool, das ich implementieren könnte?

      Liebe Grüße Christin

      1. *Bei mir erscheint nur leider nichts, sobald die entsprechende Seite aufgerufen wird. *

        vielleicht hierzu noch eine kurze Erklärung: ich kann auf TYPO3 problemlos eine Gruppe bilden, dieser einzelne Personen mit E-Mail-Adresse, Passwort usw. zuordnen und danach bestimmte Seiten nur für diese Personen zugänglich machen. Allein dieser Schritt würde beim Aufrufen der Seite dazu führen, dass der Inhalt der Seite nicht angezeigt wird, wörtlich erscheint hier "Die von Ihnen angeforderte Seite konnte leider nicht gefunden werden.". Füge ich auf entsprechender Seite nun über TYPO3 ein Anmeldeformular hinzu und gebe die entsprechende Gruppe an, erscheint beim Aufrufen der Seite nun lediglich Weißraum anstatt Inhalt.

        Vielleicht eine blöde Frage, aber wenn ich doch bereits einen Code habe, der eine Anmeldung (für einen Newsletter) möglich macht, kann ich an irgendeiner Stelle mit if/else-Anweisungen nicht beeinflussen, dass der Zugang nicht für alle, sondern nur für die bereits in TYPO3 definierte Gruppe ist?