Hallo zusammen

nachdem mir hier letztes Mal so gut geholfen wurde, hoffe ich das auch für dieses Problem jemand einen Ansatz hat.

Folgendes:

Ich benutze ein eigenes Registrierungsscript, das den Benutzer auf eine mysql Tabelle überträgt und nach Aktivierung des Users mittels email, den User active=1 setzt.

Nun soll der User sich via Login Script anmelden. Falls ok dann setzt php eine meta Weiterleitung auf die Zielseite.

Da sich die Zielseite aber innerhalb eines durch htaccess geschützten Verzeichnisses befindet, kommt dann natürlich nochmals ein Anmelde Fenster.

Meine Fragen wären nun:

1. kann ich in htaccess einen Eintrag so setzen, dass der Benutzer ohne Anmeldung bei htaccess auf die Zielseite kommt ? Dies sollte aber nur geschehen, wenn die Seite von login.php aus aufgerufen wurde. Sonst soll der User die htaccess Anmeldung sehen, wo er das Passwort nicht kennt.

2. gibt es eine Möglichkeit via PHP nach verifiziertem Login dem htaccess den Benutzernamen und Passwort zu übergeben, OHNE dass der User etwas davon mitbekommt ?

Ich möchte nicht für jeden registrierten User einen Eintrag in htusers vornehmen, denn diesen Login sollen die einzelnen User nicht kennen.

Hoffe jemand kann mir helfen (wenn es überhaupt möglich ist das so zu machen)

Vielen Dank


tobi

Original geschrieben von jahlives
1. kann ich in htaccess einen Eintrag so setzen, dass der Benutzer ohne Anmeldung bei htaccess auf die Zielseite kommt ?
ganz ohne anmeldung auf die zielseite?
wieso willst du das dann noch "schutz" nennen ...?

Dies sollte aber nur geschehen, wenn die Seite von login.php aus aufgerufen wurde. Sonst soll der User die htaccess Anmeldung sehen, wo er das Passwort nicht kennt.
nein, ohne zusatztechniken sicher nicht so zu machen.

2. gibt es eine Möglichkeit via PHP nach verifiziertem Login dem htaccess den Benutzernamen und Passwort zu übergeben, OHNE dass der User etwas davon mitbekommt ?
nein nein nein
HTTP AUTH wird zwischen dem client des users und dem server ausgehandelt, auf einer ebene - HTTP halt - wo PHP noch gar nicht aktiv ist.
diese info dürfte aber doch x-fach im www zu finden sein ...

Ich möchte nicht für jeden registrierten User einen Eintrag in htusers vornehmen, denn diesen Login sollen die einzelnen User nicht kennen.
du kannst dort ja auch für jeden user ein eigenes passwort vergeben - sinnvoller weise dann wohl das selbe, was er auch zum "PHP-login" nutzt.

aber um das vom client hochgebrachte eingabe-prompt für die login-daten kommst du nicht herum.

Salut wahsaga

wieso willst du das dann noch "schutz" nennen ...?

Also Schutz würde ich es noch nennen, da der User 1. registriert sein muss und er 2. das Passwort für den htaccess Login nicht kennt.




aber um das vom client hochgebrachte eingabe-prompt für die login-daten kommst du nicht herum.

Wenn das so ist, dann kann ich wohl das Problem so nicht lösen. Denn ich möchte kein JavaScript verwenden und wenn der htaccess (user + pswd) im Cache sind, dann nutzt es mir auch nicht viel. Denn ich will ja verhindern dass der User die Daten überhaupt zu Gesicht bekommt.


du kannst dort ja auch für jeden user ein eigenes passwort vergeben - sinnvoller weise dann wohl das selbe, was er auch zum "PHP-login" nutzt

Genau das möchte ich nach Möglichkeit verhindern. Der einzelne registrierte User soll eben nicht in htaccess eingetragen werden. Sondern das Script soll den für das Verzeichnis eingerichteten User verwenden (wäre dann bei allen registrierten user derselbe).

Tja dann werde ich wohl noch etwas weitersuchen.
Vielen Dank für die schnelle Antwort
Gruss

tobi

du bist ein verstrahlter! viel aufwand für nix, nur damit mehr umstand entsteht... komische strategie! :dontknow: