Hallo,

ich brüte gerade über folgendem Problem:

Ich möchte Verzeichnisse schützen, aber nicht mit diesem Browser Login-Fenster arbeiten. Also wenn jemand in einem bestimmten Verzeichnis auf dem Server etwas aufruft, soll er automatisch zu einem Login-Script weitergeleitet werden, dieses prüft, ob der Zugriff genehmigt ist (entweder indem es einen schon vorhandenen Cookie zeigt, oder zum Login auffordert) und anschliessend soll es dem Apache sagen, dass der Zugriff auf die Datei, oder das Script für diesen Benutzer in Ordnung geht. Gibt es da eine Möglichkeit?
Ich kann ja in der htaccess eintragen, dass von einem bestimmten Verzeichnis aus, zu dem Login-Script weitergeleitet wird, aber wie bekomme ich es hin, dass der Benutzer bei erfolgtem Login nicht mehr wieder zurückgeschickt wird. Oder kann man das anders machen?

Es soll darum gehen, dass ich bereits eine Benutzerumgebung habe und in diese PHP-Script einbinden will, die eigentlich keine Authentifizierung haben.
Die Scripte sollen dazu in einem bestimmten Verzeichnis liegen, welches dann halt durch ein PHP-Script für eingeloggte User freigegeben werden kann. Aber die User sollen den Pfad zum Script nicht herausbekommen ohne sich einzuloggen.

Ich hoffe, ihr wisst eine Lösung.

Gruß,

Marius

Mister Ad

pack die Abfrage in eine Index.php und mach aus der alten index.php index2.php oder so - oder pack die Abfrage in die index.php rein. (je Verzeichnis oder Bereich, das/den Du schützen willst).

if (isch_okee)
header("location: /weider.php");
else // isch nedd okee
header("location: /login.php");

Dann hast Du schlechte Karten, weil Du mit PHP keine Verzeichnisse schützen kannst. PHP wird erst dann gefragt, wenn der Client keinen konkreten URL will und der Apache dem Client eine der Dateien im DirectoryIndex schickt.

Ich würde etwas anders vorgehen: in jedem Verzeichnis würde ich die index.php bereitstellen, die nichts anderes macht, als den kompletten Verzeichnis auszulesen und dem Besucher anzuzeigen. Die einzelnen Dateien wären nur über einen "fileloader" downloadbar der die Rechte bzw. Logindaten des Besuchers vor dem Ausgeben der Datei überprüft... ist (wie du schon angemerkt hast) eine Session aktiv (also in Form eines nicht abgelaufenes Cookies) so wird das file ausgegeben - sonst auf die Login-Maske verwiesen.. <--- eigentlich easy.. wo ist das Problem?

Basti

@RealNexus:
Wenn du keine Datein in den Verzeichnissen liegen hat, dann brauchst du ja auch keine Verzeichnisse und dann ja auch keine x Symlinks auf dein PHP-Auth-Skript. Da würde ich die Rewrite-Engine des Apachen bemühen...

Basti

Jain. Wenn die Dateien im Verzeichnis eine Session oder sonstige Variablenabfrage enthalten und bei nicht korrekt gesetzten Vars header() ausführen.

Ok, das ist kein Schutz an sich, aber mir scheint, das ist das "Hintertürchen", daß er sucht. Über Sinn und Unsinn kann man streiten - Jedem Sein Bier und mir meinen Whisky

Hallo,

Erstmal danke für eure Antworten. Leider war keine Lösung für mein Problem dabei.

Wonach ich primär suche, ist eine Möglichkeit, dass der Apache merkt, es handelt sich um ein "geschütztes" Verzeichnis und dann die Anfrage an ein Login-Script übergibt.
Am liebsten wäre es mir, wenn ich damit die originale Passwort-Abfrage, die der Browser sonst übernimmt ersetzen könnte. Die Frage wäre in dem Fall also, kann ich die Logindaten für ein geschützten Verzeichnis schon beim Aufruf der URL mit übergeben? Dann könnte ich auf meiner HP den Link zum Login-Script setzen, welches erst später zum geschützten Verzeichnis weiterleitet, indem es diesem die gültigen Logindaten gleich mitteilt. Der User könnte sich dann später nicht mehr in das Verzeichnis einloggen, da nicht er, sondern das Script den Login vorgenommen hat.

Ein andere Möglichkeit, die ich auch schon ausprobiert habe, besteht darin, alle Zugriffe auf ein Verzeichnis an das Login-Script weiterzuleiten. Das geht mit der redirect-Directive in der htaccess ja ganz leicht. Problem ist nur, wie ich dem Apache mitteile, dass er den Zugriff nicht mehr umleiten soll, wenn als Referrer das Login-Script angegeben wird. Gibt es da vielleicht eine Möglichkeit?

Gruß,

Marius

Genau das geht eben nicht. Entweder HTTP-Auth oder komplette Dateiverwaltung per PHP Script.

marius, für Deinen Bedarf musst Du Robert T-Online anmieten, der per Gesichtskontrolle die Rechte zuweist.

Oder in der Tat die komplette Rechteverwaltung selbst in die Hand nehmen.

Z.Bsp., indem Du eine Datenbank mit User:Passwort:Gruppe anlegst und dann anhand der Gruppe mit if oder ähnlichem die Dateien schlicht nicht anzeigst.

Bringt aber nicht, wenn der absolute Pfad bekannt ist - es sei denn, jede Datei hat im ersten Teil eine solche Abfrage drin - das macht m.E. soviel Sinn wie Löcher in Wolken zu pusten.

Basti

Hi.

> Am liebsten wäre es mir, wenn ich damit die originale Passwort-Abfrage, die der Browser sonst
> übernimmt ersetzen könnte. Die Frage wäre in dem Fall also, kann ich die Logindaten für ein
> geschützten Verzeichnis schon beim Aufruf der URL mit übergeben?

Natürlich.

http://userassword@example.comort/path

Allerdings bekommst du bei einem unerlaubten Zugriff so natürlich auch deinen 401 bzw. eben das Login-Popup.

Basti