12 berichten aan het bekijken - 1 tot 12 (van in totaal 12)
  • Q:
    Bijdrager
    Erik

    WWW-Authentication

    Pfff, ’t is weer eens zover. Ik zit klem.

    Om een gedeelte van m’n site te beveiligen werk ik met de volgende header:
    [code:1:dfbc713736]HTTP / 1.1 401
    WWW-Authenticate: Basic realm=’hello’
    Server: HelloServer[/code:1:dfbc713736]

    Ik kan de gebruiker nu keurig laten inloggen, en het werkt perfect.
    Alleen wil ik graag dat de login-gegevens uit voor de caches worden gewist op een of andere manier. Wanneer de gebruiker deze pagina opnieuw oproept, moet hij/zij dan opnieuw inloggen. Teniminste, dat is de bedoeling, maar het lukt niet. De browsers blijven de info vasthouden totdat je ‘m ‘quit’.

    Heeft iemand een idee of dit te doen is? (zonder php)

    Thanks,

    Erik

    Bijdrager
    Sen

    Uit de Apache handleiding (http://httpd.apache.org/docs/howto/auth.html)

    How do I log out?
    Since browsers first started implementing basic authentication, website administrators have wanted to know how to let the user log out. Since the browser caches the username and password with the authentication realm, as described earlier in this tutorial, this is not a function of the server configuration, but is a question of getting the browser to forget the credential information, so that the next time the resource is requested, the username and password must be supplied again. There are numerous situations in which this is desirable, such as when using a browser in a public location, and not wishing to leave the browser logged in, so that the next person can get into your bank account.

    However, although this is perhaps the most frequently asked question about basic authentication, thus far none of the major browser manufacturers have seen this as being a desirable feature to put into their products.

    Consequently, the answer to this question is, you can’t. Sorry.

    Kort samengevat als je niet met php sessies werkt vergeet het.

    Bijdrager
    Erik

    Ok, da’s duidelijke taal.
    Jammer, maar hierbij vervalt voor mij de WWW-Authentication optie.

    SSL wordt dan denk ik de enige mogelijkheid.

    Dank iig hiervoor!

    Erik

    Bijdrager
    fab

    Je hebt waarschijnlijk al een andere weg ingeslagen, maar het is wel mogelijk om iemand opnieuw te laten inloggen door deze headers te versturen (force logout):

    [code:1:9eab8a1854]
    header(’WWW-Authenticate: Basic realm="admin"’);
    header(’HTTP/1.0 401 Unauthorized’);
    [/code:1:9eab8a1854]

    Bijdrager
    Erik

    Dank voor deze tip fab,
    ik ga het zeker proberen!

    Erik

    Bijdrager
    3sje

    fab, heeft gelijk hoor;-) zo werkt het, ik doe het ook zo, ZONDER php-sessies! Werkt goed zo, dat is dan ook de code die je normaal achter een log-out button plaatst.

    PHP-sessies zijn dan wel wat beter misschien, maar moet je wel wat meer programmeerwerk insteken eh.

    Bijdrager
    HSL

    gebruiken jullie dit in combinatie met .htacces?

    Bijdrager
    fab
    ”HS-L”

    gebruiken jullie dit in combinatie met .htacces?

    Nee, dat is zover ik heb gemerkt een slecht idee. Beter gezegd, je kunt niet beiden (.htaccess en een php script via HTTP Auth) tegelijk gebruiken.

    Bijdrager
    HSL

    ok wat voor PHP script is dit dan precies? daar snap ik niet zoveel van..

    Bijdrager
    fab
    ”HS-L”

    ok wat voor PHP script is dit dan precies? daar snap ik niet zoveel van..

    Een heel simpel voorbeeld van zo’n script:

    [code:1:5c5ce3d683]
    <?php

    $isLoggedIn = false;

    if(isset($_SERVER[’PHP_AUTH_USER’]) && isset($_SERVER[’PHP_AUTH_PW’])) {
    $isLoggedIn = (($_SERVER[’PHP_AUTH_USER’] == ‘myuser’)
    && ($_SERVER[’PHP_AUTH_PW’] == ‘mypass’));
    }

    if(isset($_GET[’logout’]) || !$isLoggedIn) { // geforceerd uitloggen kan via bijv. index.php?logout
    header(’WWW-Authenticate: Basic realm="private"’);
    header(’HTTP/1.0 401 Unauthorized’);
    exit(’Unauthorized’);
    }

    // rest van beveiligde pagina hier

    ?>
    [/code:1:5c5ce3d683]

    Bijdrager
    HSL

    mhmm denk dat ik daar toch maar iets meer in moet duiken.. dat PHP..:)

    Bijdrager
    Aglaea

    Waarom wil je die gebruiker iedere keer opnieuw laten inloggen? Dat is toch enorm frustrerend?? Deze vorm van chaching is er niet voor niets…

12 berichten aan het bekijken - 1 tot 12 (van in totaal 12)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.