Mailinglisten-Archive |
amalesh kempf wrote: > >- Man erzeugt eine Authentication (401) und setzt > > die Session-ID als Realm-Name, akzeptiert aber > > jeden beliebigen Usernamen und jedes beliebige > > Paßwort. In allen folgenden Aufrufen wird die > > Session-ID als Realm mitgeliefert. > Das ist wirklich hochinteressant! Gibt es da ein "how-to"? Um Himmels willen, nein! Das mit dem Realm ist mehr eine theoretische Idee, die man auf keinen Fall implementieren will. Macht man das, geht nämlich beim ersten Zugriff auf eine Site in jedem Fall ein Login-Fenster auf und das möchte man idR vermeiden. [... /me strift gerade über www.w3c.org ... ] Argh, nein! Es funktioniert noch nicht einmal: Zwar sendet der Server WWW-Authenticate: Basic realm="Kris_Session=...." und setzt so einen Realm, aber der Client authentisiert sich mit Authorization: Basic <base64_encode von (user:pass)> d.h. der Client sendet den Realm niemals zurück! Wie sinnlos. Ok, vergiß die Idee, wir sind zurück bei 3 Methoden. Kristian PS: http://www.w3.org/Protocols/ (Ctrl-F cookie) http://portal.research.bell-labs.com/~dmk/cookie-ver.html http://portal.research.bell-labs.com/~dmk/cookie-3.6.txt -- Kristian Köhntopp, NetUSE Kommunikationstechnologie GmbH Siemenswall, D-24107 Kiel, Germany, +49 431 386 436 00 Using PHP3? See our web development library at http://phplib.shonline.de/ (GPL)
php::bar PHP Wiki - Listenarchive