[Jann Hendrik]

Ich nutze ganz gerne den Passwort-Schutz, den mir apache über die htaccess bietet, weil ich denke, dass es sicherer sein wird als etwas selbstgebasteltes.

Meine Frage aber ist nun, ob man da auch einen logout für programmieren kann?
Denn andernfalls wäre man ja solange eingelogt, wie der Browser nicht geschlossen wurde.

Ich könnte zwar auch über sessions arbeiten (mit session-Variable, die den timeout steuert), aber... das möchte ich nicht.


Jemand dazu eine Idee?

[Neq']

Vielleicht hilft dir das hier weiter: http://de.php.net/manual/de/features.http-auth.php

Gesagt sei, dass es meines Wissens nach keine wirkliche Möglichkeit dafür gibt, nur mit Workarounds.

[Jann Hendrik]

Stimmt - das wäre eine Idee, einfach den entsprechenden header zu schicken...

Ich werde damit mal ein wenig experimentieren!

[Jann Hendrik]

Meine bisherigen Versuche waren nicht erfolgreich. Schade.

Ich wollte gerne auch sessions verzichten. Mit wäre das natürlich kein Ding....

[Neq']

Zitat:

Zitat von Jann Hendrik

Meine bisherigen Versuche waren nicht erfolgreich. Schade.

Ich wollte gerne auch sessions verzichten. Mit wäre das natürlich kein Ding....

Das Problem ist das es keine wirkliche Möglichkeit mittels .htaccess gibt. Ich würde auf Sessions ausweichen, ist wohl die enzige Möglichkeit die sich einfach und vorallem fehlerfrei implementieren lässt.

[Bleistift]

phpMyAdmin hat es ja irgendwie hingekriegt. Kannst dich ja mal von deren Sourcecode "inspirieren" lassen

[Jann Hendrik]

Zitat:

Zitat von Bleistift

phpMyAdmin [...] "inspirieren" lassen

is ok. ich meld mich dann in ein paar Jahren wieder...

[Helmi]

Du bist ja vBulletin-Kunde, oder? Ich weiß nicht wie, aber die kriegen das im Kundenbereich so hin, dass es bei mir bisher mit allen getesteten Browsern (FF2+3, Safari, Opera - jeweils mac osx + win xp) geklappt hat:

***://members.vbulletin-germany.com/?bypass_cust=$kundennummer

Im Notfall dort mal einen der Teammitglieder fragen wie die das gelöst haben.

EDIT: was hast Du denn in Sachen header schon probiert? Geht das in die Richtung?

PHP-Code:

   header('WWW-Authenticate: Basic realm="MeinRealm"');
   header('HTTP/1.0 401 Unauthorized');
   exit; 


[Jann Hendrik]

Zitat:

Zitat von Helmi

Du bist ja vBulletin-Kunde, oder?

Natürlich, sonst würde dieses Angebot (developers-guide) ja nicht legal sein....

Zitat:

Zitat von Helmi

Ich weiß nicht wie, aber die kriegen das im Kundenbereich so hin, dass es bei mir bisher mit allen getesteten Browsern (FF2+3, Safari, Opera - jeweils mac osx + win xp) geklappt hat:

Okay, kann ich mal machen - aber.. derzeit komme ich wohl nicht dazu - ich habe gerade keinen Zugang.

Zitat:

Zitat von Helmi

EDIT: was hast Du denn in Sachen header schon probiert? Geht das in die Richtung?

PHP-Code:

   header('WWW-Authenticate: Basic realm="MeinRealm"');
   header('HTTP/1.0 401 Unauthorized');
   exit; 


genau. Allerdings habe ich den abgesicherten Bereich auf mehrere Dateien gestreut. Wenn ich dann die logout.php aufrufe und den header sende, dann kann ich einfach über den zurück-button wieder auf die vorherigen Seiten (soweit klar), aber dann dort auch weiter die Einstellungen ändern. Genau das soll aber auch verhindert werden, wenn ich mich auslogge!

Derzeit tendiere ich daher dann doch den Weg über die sessions zu gehen.

[Neq']

Wenn du in Google nach deinem Problem suchst, findest du diverse Workarounds zu deinem Thema, unter anderem auch die Möglichkeiten die hier schon gepostet wurden, dass schließt auch das "umloggen" zu einem Account der keine Rechte hat mit ein.

Deswegen wiederhole ich mich nun zum letzten Mal: Verwende eine gängigere Methode wie eben die Sessions, hat IMHO mehr Sinn.

[Dennis]

Zitat:

Zitat von Jann Hendrik

Ich nutze ganz gerne den Passwort-Schutz, den mir apache über die htaccess bietet, weil ich denke, dass es sicherer sein wird als etwas selbstgebasteltes.

Falsch! Die Daten werden unverschlüsselt (nur base64-kodiert) übertragen - und das bei JEDEM Request, nicht nur beim ersten Login-Vorgang.

Ein "selbstgebastelter Passwort-Schutz" ist daher der htaccess-Variante deutlich vorzuziehen, da hierbei nur einmalig die Login-Daten übertragen werden (sinnvollerweise via HTTPS/SSL-Proxy) und hinterher lediglich die Session-ID zur Wiedererkennung genutzt wird. Die Session kann zudem noch gehärtet werden.

Die HTTP Digest access authentication bietet ähnliche Vorteile, wie die reine PHP-Auth, siehe: http://en.wikipedia.org/wiki/Digest_...authentication

[Jann Hendrik]

jaja... ich sehe schon... es läuft auf die sessions hinaus....