phpbar.de logo

Mailinglisten-Archive
[php] Userverwaltung und Sessions

[php] Userverwaltung und Sessions

Ralf Geschke php_(at)_phpcenter.de
Tue, 19 Jun 2001 11:11:57 +0200 

Hallo !

(BTW, Deine Zeilen sind recht lang, Zitieren wird damit erschwert.)

> Ich möchte eine Userverwaltung aufbauen, in der jeder User seine pers. ID und eine oder
> mehrere Gruppen IDs bekommt.

Soweit ok. 

> In der Menuedatenbank habe ich dazu die Felder GRUPPE und USER, sodaß ein Menuepunkt nur
> angezeigt wird, wenn die IDs des Users mit dem in der MenueDB übereinstimmen.

Naja, ob sinnvoll oder nicht, kannst wohl nur Du entscheiden. ;-)

> Ich denke, ich muß hierzu bei einem Login eine Session anlegen und die ID wollte ich per URI
> weitergeben.

Ok. 

> Was mir fehlt, ist die Lücke zwischen der USER/GRUPPEN-ID und der Session - was bringt mir
> die Session-ID, wenn der User einen weiteren Menuepunkt anklickt und in der MenueDB nur

Wieso Luecke? Die Session-ID verbindet eine Session einfach mit
einer User-ID. D.h. anhand der Session-ID erkennst Du, um welchen 
User es sich handelt, der sich auf den Seiten befindet und 
irgend welche Links aktiviert. 

Die User-ID wirst Du ja in einer anderen Tabelle mit den Gruppen-IDs
verbunden haben, so dass Du anhand der User-ID abfragen kannst, in
welchen Gruppen sich der User befindet. 

> USER/GRUPPEN-ID stehen? Wäre es nicht sinnvoller, die USER/GRUPPEN-IDs in der URI mitzugeben?

Nein, nicht wirklich. Dann kannst Du das Verfahren zur Authentifizierung
gleich aufgeben und die Anwendung allen oeffnen. 

> Was mache ich aber dann, wenn ein User eine Seite direkt aufruft?

 -> User ruft Seite auf, besitzt keine Session-ID:
    -> fuehrt zur Login-Prozedur, User loggt sich ein, besitzt 
       anschliessend eine Session-ID
 -> User ruft Seite auf inkl. Session-ID:
    -> Anhand Session-ID wird ueberprueft, um welche User-ID
       es sich handelt. Anhand der User-ID kannst Du auf die
       Gruppen-IDs schliessen. Und schon hast Du die Kombination
       von User- und Gruppen-IDs, nach der sich richtet,
       welches Menue der User erhaelt, oder anders, nach der
       sich richtet, ob ein User die jeweilige Seite
       betreten darf oder nicht, denn schliesslich waere es
       auch theoretisch durch Erraten moeglich, einen Link zu 
       aktivieren. Die Authentikationsroutine muss folglich
       auf jeder Seite ablaufen.  

Beste Gruesse,
   Ralf
-- 
: www  : http://www.bttr.org  :  http://der.leitweganzeiger.de
: mail : ralf_(at)_bttr.org       :::         rg_(at)_leitweganzeiger.de

php::bar PHP Wiki   -   Listenarchive