[php] Fw: [php] Lange Leitung

[Alex Killing]

Hallo,

Kristian K�hntopp schrieb:
> [...]
> "Bitte geben Sie Ihren Nachnamen und Ihr Kennwort ein:
> 
> [Logo]
> 
>     Name    :
>     Vorname :
>     Telefon :
>     Kennwort:
>                      [Hilfe] [ Log in ]
> 
>     Wenn Ihr Nachname nicht eindeutig ist ("M�ller"), geben Sie
>     bitte ihren Vornamen und ggf. auch ihre Durchwahlnummer mit ein."
> 
> HTTP Authentication scheitert hier, weil man als Designer keine Kontrolle
> �ber das benutzerinterface w�hrend der Anmeldung hat: Weder kann man dort
> die Anzahl und Namen der Fehler kontrollieren, noch kann man eine
> Benutzerf�hrung mit Hilfe implementieren noch hat man dort die M�glichkeit,
> CI/CD-konform zu arbeiten.

Na ein Gl�ck ! Solche Anmeldungen der obigen Art geh�ren ja wohl
verboten. Ich geb doch nicht bei jeder Anmeldung meine halbe Adresse
ein, so was hab ich ja noch nie gesehen. Ich weiss nicht bei wieviel
verschiedenen Systemen ich mich schon angemeldet habe, aber es war immer
das gleiche : Benutzerkennung - Passwort. Was soll diese Abstrusit�t ?
Das ganze wird ja extrem fehleranf�llig. Man heiratet ja wom�glich und
hei�t pl�tzlich ganz anders. Oder bekommt eine andere Telefonnumer oder
gibt sie pl�tzlich mit Vorwahl an. Der ganze Summs geh�rt in die
Benutzerstammdaten und in ein eigenes Formular, mit Anmeldung hat das
nichts zu tun. Und dieses kleine http-auth-Fenster ist nicht CI/CD
konform - soll ich denn in jeder Sicherheitsabfrage noch ein Firmenlogo
unterbringen ?

> Diese Nachteile existieren bei PHPLIB Authentication nicht. Zudem ist
> der Authentisierungsproze� durch Callbacks implementiert und kann
> daher vollst�ndig durch den Designer kontrolliert werden: Je nach
> Anforderung k�nnen Klartext- oder Challenge-Response-Mechanismen
> implementiert werden, es kann gehen ASCII-Dateien, gegen beliebige
> Datenbanktabellen, gegen LDAP oder gegen Samba authentisiert werden.

Nach einem HTTP-Auth, hab ich alles was ich brauch. Der DB Zugriff, oder
das nachlesen in der ASCII-Datei <grusel>, erfordert dann nochmal 3
Zeilen Code. Ich mu� aber zugeben, da� ich keine Ahnung habe was ein
Challenge-Response-Mechanismus ist.

> Eine Aufgabe von class Auth in PHPLIB ist es, den variablen, durch
> den Designer definierten Prim�rschl�ssel zu normalisieren, d.h.
> eine Schl�sseltransformation durchzuf�hren. Das geschieht durch
> Lookup in der Tabelle auth_user, wo jedem "menschenlesbaren"
> zusammengesetzten Prim�rschl�ssel (z.B. Name, Vorname, Telefon)
> ein "maschinengerechter" �quivalenter Schl�ssel zugeordnet wird
> (die UID, die nur intern verwendet wird und niemals �ber das Netz
> kommuniziert wird).

Das klingt sehr aufregend, ist aber in meinen Augen ein �berfl�ssiger
Vorgang.

> Anhand der Sessionkennung, aber unabh�ngig davon, wie sie �bertragen wird,
> unterscheidet PHPLIB verschiedene Anwender und speichert f�r jeden Anwender,
> ob er sich schon mal angemeldet hat und wann. Die Sessionkennung wird
> beim ersten Zugriff auf die Seite neu erzeugt und beim Beenden des
> Browsers weggeschmissen. Sie wird nie gespeichert. Das Verfahren ist
> ortunabh�ngig (und nicht auf eingeschaltete Netscape-Cookies angewiesen).

Eine Session ist imo ein ziemlich willk�rliches Objekt. Das Grundproblem
war doch, wie kann ich irgendwelche Benutzerspezifischen Einstellungen
oder Daten von einem Webseitenaufruf zum n�chsten retten, ohne da� ich
alles per GET/POST mitschleppe. Also hie� es : Sessionvariable. Warum
hei�t es nicht Benutzerumgebung/Benutzervariable ? Wenn sich ein
Benutzer einmal per http-auth angemeldet hat, kann ich alles, was mich
interessiert in der DB speichern und auslesen �ber Webseitenzugriffe
hinweg, sogar unabh�ngig von Ort/Zeit. Da braucht man nur eine
DB-Tabelle, nur ein UPDATE um Daten reinzuschreiben und nur ein SELECT
um alle Benutzerspezifischen Variablen in einem Array zu haben. Was ist
der zus�tzliche Nutzen einer Session ? Wenn ich Daten (oder Anmeldungen)
zeitabh�ngig verfallen lassen will, mu� ich halt noch ein Datum
mitspeichern, das w�re dann nochmal eine Zeile mehr.

Ok, eine Anwendung gibt es dann doch : die "anonyme Session". Da kann
man dann Ralfs oder Deinen L�sungsvorschlag nehmen. Meine Einw�nde hier
richten sich �brigens nicht gegen PHPLIB, die bietet einem ja noch
einiges mehr. Aber der Anfang des Threads (erinnert sich noch jemand ?)
war ein Authentifikationsproblem...

Gruss
Alex

-- 
*****************************************
*** Alex Killing *** http://4real.de/ ***
*****************************************