Teil von  SELFPHP   Teil von  Praxisbuch  Teil von  Know-how  Teil von  PHP & HTTP
  +++ SELFPHP CronJob-Service :: Jetzt auch als Professional-Version verfügbar! +++
Startseite
Aktuelles
SELFPHP
Premium-Partner
SELFPHP Dokumentation
Anbieterverzeichnis
CronJob-Service
Services
Produktempfehlung
Internet Security
Software Qozido



:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: SELFPHP Forum ::

Fragen rund um die Themen PHP? In über 120.000 Beiträgen finden Sie sicher die passende Antwort!  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

:: Qozido ::

Die Bilderverwaltung mit Logbuch für Taucher und Schnorchler.   

 
 
Authentifizierung via HTTP




Es besteht die Möglichkeit, den Browser ein Fenster öffnen zu lassen, in dem Name und Passwort eingetragen werden müssen. Dies jedoch nur dann, wenn PHP als Modul und nicht als CGI läuft.

Die Umsetzung stellt sich recht einfach dar:

<?php
  if($PHP_AUTH_USER!="Matthias" OR $PHP_AUTH_PW!="Kannen") {
    Header('HTTP/1.1 401 Unauthorized');
    Header('WWW-Authenticate: Basic realm="Privatezone"');
    echo "Sie haben den Vorgang abgebrochen!";
    exit;
  }
?>
<html>
<head>
  <title>Privatzone</title>
</head>
<body>
<h1>Hier ist die Privatzone von </h1>
<h2>
<?php
  echo "Benutzer: ".$PHP_AUTH_USER." Passwort: ".$PHP_AUTH_PW;
?>
</h2>
</body>
</html>




Bild 8.1: Login-Fenster



Bild 8.2: Privatzone des Anwenders

Beim ersten Aufruf sind beide Variablen $PHP_AUTH_USER und $PHP_AUTH_PW nicht gesetzt. Hierdurch wird der Abschnitt der IF-Anweisung bearbeitet. In diesem werden die beiden Header zurückgegeben, die den Browser veranlassen, nach dem Benutzernamen und dem Passwort zu fragen. Die Bezeichnung für den Privatbereich können Sie nach Belieben anpassen, sämtliche übrigen Bestandteile des Headers sollten Sie genauso übernehmen. Die echo-Anweisung wird lediglich dann ausgegeben, wenn der Anwender bei der Passwortabfrage auf Abbrechen klickt oder im Falle des Internet Explorers drei Versuche, sich zu authentifizieren, misslungen sind. Dann springt der Webserver nach dem echo aus der Datei und der Rest wird nicht mehr ausgegeben. Sollte der Anwender jedoch das korrekte Passwort mit dem korrekten Benutzernamen eingeben, wird der Bereich innerhalb der IF-Anweisung nicht bearbeitet und der Rest der Datei interpretiert.

Sollten Sie auf Nummer sicher gehen wollen, sollten Sie die globalen Servervariablen $_SERVER wie folgt einbinden:


<?php
  if($_SERVER["PHP_AUTH_USER"]!="Matthias"
  OR $_SERVER["PHP_AUTH_PW"]!="Kannen") {
    Header('HTTP/1.1 401 Unauthorized');
    Header('WWW-Authenticate: Basic realm="Privatezone"');
    echo "Sie haben den Vorgang abgebrochen!";
    exit;
  }
?>
<html>
<head>
<title>Privatzone</title>
</head>
<body>
<h1>Hier ist die Privatzone von </h1>
<h2>
<?php
  echo "Benutzer: ".$_SERVER["PHP_AUTH_USER"]." Passwort: ".$_SERVER["PHP_AUTH_PW"];
?>
</h2>
</body>
</html>

Das PHP-Skript erhält über folgende Servervariablen die Anmeldedaten:

VariableWert
$_SERVER["PHP_AUTH_USER"]Benutzername
$_SERVER["PHP_AUTH_PW"]Passwort im Klartext
$_SERVER["PHP_AUTH_TYPE"]Authentifizierungstyp


Das Skript kann die Gültigkeit der so übergebenen Daten prüfen. Diese Variablen stehen Ihnen immer nur dann zur Verfügung, wenn das PHP-Skript die Authentifizierung veranlasst hat. Hat sich ein Anwender einmal am System angemeldet, werden die Anmeldungsdaten im Browser gesichert. Bei jedem Aufruf einer Resource im geschützten Bereich sendet dieser automatisch die Authentifizierungsdaten mit. Der Anwender muss sich somit nur einmal anmelden. Sie sollten jedoch beachten, dass im Authentifizierungsschema Basic das Passwort im Klartext gesendet wird. Es wäre daher ratsam, gegebenenfalls HTTPS zu verwenden, um eine sichere Übertragung zu gewährleisten.


Sicherheitsproblem

Ein weiteres Sicherheitsproblem ist zu berücksichtigen: Der Browser speichert nämlich den Benutzernamen und das Passwort, sodass die Autoren derjenigen Seiten, die man nach der Passworteingabe abruft, theoretisch das Passwort abfragen könnten. Dies kann man jedoch ganz einfach verhindern, indem man den Browser komplett beendet oder den PHP-Abschnitt wie folgt anpasst:

<?php
  if($PHP_AUTH_USER!="Matthias" OR $PHP_AUTH_PW!="Kannen") {
    Header('HTTP/1.1 401 Unauthorized');
    Header('WWW-Authenticate: Basic realm="Privatezone"');
    echo "Sie haben den Vorgang abgebrochen!";
    exit;
  } else {
    unset($PHP_AUTH_PW);
  }
?>


Variante via $_SERVER

<?php
  if($_SERVER["PHP_AUTH_USER"]!="Matthias" OR $_SERVER["PHP_AUTH_PW"]!="Kannen") {
    Header('HTTP/1.1 401 Unauthorized');
    Header('WWW-Authenticate: Basic realm="Privatezone"');
    echo "Sie haben den Vorgang abgebrochen!";
    exit;
  } else {
    unset($_SERVER["PHP_AUTH_USER"]);
  }
?>
 




:: Premium-Partner ::

Webhosting/Serverlösungen


Premium-Partner MECO Systemhaus GmbH & Co. KG
Premium-Partner PSW GROUP GmbH & Co. KG
Premium-Partner BPI-Systeme
Premium-Partner Pixel X
Premium-Partner
 

:: SELFPHP Sponsoren ::


Microsoft Deutschland GmbH
twosteps.net - ...Premium-Webhosting
Sedo - Bei uns wird PHP großgeschrieben
hostfactory.ch - OptimaNet Schweiz AG
ZEND - The PHP Company
Kaspersky Labs
HighText iBusiness
SELFPHP Sponsoren
 

Qozido
© 2001-2009 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt