![]() Mailinglisten-Archive |
Hallo, Kristian K�hntopp schrieb: > [...] > "Bitte geben Sie Ihren Nachnamen und Ihr Kennwort ein: > > [Logo] > > Name : > Vorname : > Telefon : > Kennwort: > [Hilfe] [ Log in ] > > Wenn Ihr Nachname nicht eindeutig ist ("M�ller"), geben Sie > bitte ihren Vornamen und ggf. auch ihre Durchwahlnummer mit ein." > > HTTP Authentication scheitert hier, weil man als Designer keine Kontrolle > �ber das benutzerinterface w�hrend der Anmeldung hat: Weder kann man dort > die Anzahl und Namen der Fehler kontrollieren, noch kann man eine > Benutzerf�hrung mit Hilfe implementieren noch hat man dort die M�glichkeit, > CI/CD-konform zu arbeiten. Na ein Gl�ck ! Solche Anmeldungen der obigen Art geh�ren ja wohl verboten. Ich geb doch nicht bei jeder Anmeldung meine halbe Adresse ein, so was hab ich ja noch nie gesehen. Ich weiss nicht bei wieviel verschiedenen Systemen ich mich schon angemeldet habe, aber es war immer das gleiche : Benutzerkennung - Passwort. Was soll diese Abstrusit�t ? Das ganze wird ja extrem fehleranf�llig. Man heiratet ja wom�glich und hei�t pl�tzlich ganz anders. Oder bekommt eine andere Telefonnumer oder gibt sie pl�tzlich mit Vorwahl an. Der ganze Summs geh�rt in die Benutzerstammdaten und in ein eigenes Formular, mit Anmeldung hat das nichts zu tun. Und dieses kleine http-auth-Fenster ist nicht CI/CD konform - soll ich denn in jeder Sicherheitsabfrage noch ein Firmenlogo unterbringen ? > Diese Nachteile existieren bei PHPLIB Authentication nicht. Zudem ist > der Authentisierungsproze� durch Callbacks implementiert und kann > daher vollst�ndig durch den Designer kontrolliert werden: Je nach > Anforderung k�nnen Klartext- oder Challenge-Response-Mechanismen > implementiert werden, es kann gehen ASCII-Dateien, gegen beliebige > Datenbanktabellen, gegen LDAP oder gegen Samba authentisiert werden. Nach einem HTTP-Auth, hab ich alles was ich brauch. Der DB Zugriff, oder das nachlesen in der ASCII-Datei <grusel>, erfordert dann nochmal 3 Zeilen Code. Ich mu� aber zugeben, da� ich keine Ahnung habe was ein Challenge-Response-Mechanismus ist. > Eine Aufgabe von class Auth in PHPLIB ist es, den variablen, durch > den Designer definierten Prim�rschl�ssel zu normalisieren, d.h. > eine Schl�sseltransformation durchzuf�hren. Das geschieht durch > Lookup in der Tabelle auth_user, wo jedem "menschenlesbaren" > zusammengesetzten Prim�rschl�ssel (z.B. Name, Vorname, Telefon) > ein "maschinengerechter" �quivalenter Schl�ssel zugeordnet wird > (die UID, die nur intern verwendet wird und niemals �ber das Netz > kommuniziert wird). Das klingt sehr aufregend, ist aber in meinen Augen ein �berfl�ssiger Vorgang. > Anhand der Sessionkennung, aber unabh�ngig davon, wie sie �bertragen wird, > unterscheidet PHPLIB verschiedene Anwender und speichert f�r jeden Anwender, > ob er sich schon mal angemeldet hat und wann. Die Sessionkennung wird > beim ersten Zugriff auf die Seite neu erzeugt und beim Beenden des > Browsers weggeschmissen. Sie wird nie gespeichert. Das Verfahren ist > ortunabh�ngig (und nicht auf eingeschaltete Netscape-Cookies angewiesen). Eine Session ist imo ein ziemlich willk�rliches Objekt. Das Grundproblem war doch, wie kann ich irgendwelche Benutzerspezifischen Einstellungen oder Daten von einem Webseitenaufruf zum n�chsten retten, ohne da� ich alles per GET/POST mitschleppe. Also hie� es : Sessionvariable. Warum hei�t es nicht Benutzerumgebung/Benutzervariable ? Wenn sich ein Benutzer einmal per http-auth angemeldet hat, kann ich alles, was mich interessiert in der DB speichern und auslesen �ber Webseitenzugriffe hinweg, sogar unabh�ngig von Ort/Zeit. Da braucht man nur eine DB-Tabelle, nur ein UPDATE um Daten reinzuschreiben und nur ein SELECT um alle Benutzerspezifischen Variablen in einem Array zu haben. Was ist der zus�tzliche Nutzen einer Session ? Wenn ich Daten (oder Anmeldungen) zeitabh�ngig verfallen lassen will, mu� ich halt noch ein Datum mitspeichern, das w�re dann nochmal eine Zeile mehr. Ok, eine Anwendung gibt es dann doch : die "anonyme Session". Da kann man dann Ralfs oder Deinen L�sungsvorschlag nehmen. Meine Einw�nde hier richten sich �brigens nicht gegen PHPLIB, die bietet einem ja noch einiges mehr. Aber der Anfang des Threads (erinnert sich noch jemand ?) war ein Authentifikationsproblem... Gruss Alex -- ***************************************** *** Alex Killing *** http://4real.de/ *** *****************************************
php::bar PHP Wiki - Listenarchive