Just nu i M3-nätverket
Gå till innehåll
Eforum är stängt för nya inlägg och svar sedan 20 juni 2022. Klicka för att läsa vad som hände och om alternativ.

Vill ha autentisering, men helst inte login...

Gurra4

Startad av Gurra4,
i Webbutveckling

Rekommendera Poster

Gurra4

Gurra4

Postad
Postad

Jag vill ha någon form av autentisering till min server, men samtidigt vill jag att kända användare ska slippa göra om inloggningen varje gång de besöker sidan. Så som man kan välja att det ska fungera här på eforum alltså.

Jag gissar att httpAuthentication då inte fungerar?

Om jag gör ett skript som kollar om det finns en kaka med ett givet innehåll i, är då detta en lika säker lösning som httpAuthentication?

Jag antar att jag då måste ha ett sådant sidhuvud på varenda html-sida?

Eller kan man använda auth. i kombination med kakor på något vis?

Länk till kommentar
Dela på andra webbplatser
Thomas Tydal

Thomas Tydal

Postad
Postad

Ja, du kan göra ett skript som kollar efter en kaka. Skillnaderna i säkerhet mot att logga in varje gång blir ju att man inte behöver ha lösenordet för att komma in, utan att det räcker med kakan. Och det finns en del säkerhetshål i diverse webbläsare som gör att man kan komma åt andras kakor. Om din kaka då inte på något sätt är tidsbegränsad på ett säkert sätt (att den utgår "expires" nån gång i framtiden är inte ett säkert sätt) så kan ju den som norpat kakan köra så länge han/hon vill. Skulle du upptäcka det så måste du antingen ändra i ditt skafferi (servern) så att en ny sorts kakor krävs och alla gamla nekas tillträde, eller så får användaren byta namn (eller hur du nu identifierar användarna).

 

Det är alltså inte riktigt lika säkert som att få logga in varje gång, men jag tror fördelarna överväger. För att förbättra det något kan du ju kanske ta med användarens ip-adress i sammanhanget, så man behöver logga in på nytt om man byter ip. På det viset kan ju inte vem som helst norpa kakan. (Förutsatt att du gör det säkert, med lite hash och hemlig nyckel.)

 

Jag skrev lite grann om sånt här en gång förut: //eforum.idg.se/viewmsg.asp?entriesid=288981#289002

 

 

Länk till kommentar
Dela på andra webbplatser
Gurra4

Gurra4

Postad
  • Trådskapare
Postad

Men för att slippa lägga in hela skriptet på varenda sida, kan man då lägga detta kontroll-skript i t.ex. filen 'check.php' och sen ha: readfile('/check.php');

...i sidhuvudet på varje enskilt dokument?

Funkar det över huvud taget med php-dokument? Om det nu gör det så skulle det väl inte göra laddningen av sidorna långsammare?

 

Länk till kommentar
Dela på andra webbplatser
Gurra4

Gurra4

Postad
  • Trådskapare
Postad

 

Eller ännu bättre vore om det gick att konfigurera Apache så att vilken fil som än begärs ifrån servern, så laddar den alltid en och samma sida: "checkCookie.php".

Där kontrolleras att en giltig kaka finns, sedan läser skriptet in den egentliga sidan. Det skulle isåfall behövas en variabel som talar om sökvägen till den egentliga sidan.

Vore detta möjligt att göra?

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

Gå till ämneslista


×
×
  • Skapa nytt...