.htaccess - Aussperren Teil 1
1. Die Abschnitte
- Einführung
- mod_rewrite Teil 1
- mod_rewrite Teil 2
- mod_rewrite Teil 3
- mod_rewrite Teil 4
- Weiterleitungen
- Aussperren Teil 1
- Aussperren Teil 2
- Zugriffsschutz Teil 1
- Zugriffsschutz Teil 2
- PHP-Einstellungen Teil 1
- PHP-Einstellungen Teil 2
- Fazit
2. Den Zugriffsschutz einrichten
Das geschieht über die .htaccess
-Datei im Ordner zugriffsschutz
. Zunächst mal muss das entsprechend
initialisiert werden.
AuthType Basic
AuthName 'login'
Bitte nicht den AuthName
vergessen. Sonst bekommt ihr einen 500er um die Ohren gehauen. Ansonsten ist es völlig lattens, was
ihr da angebt. So, wenn ihr das DirectoryListing so eingestellt habt, dass die
Ordner angezeigt werden, dann werdet ihr sehen, dass zugriffsschutz
dort nicht mehr aufgeführt ist. Denn der ist
mittlerweile passwortgeschützt. Und nichts anderes macht AuthType Basic
.
Ein Hinweis
Neben der unverschlüsselten Übertragung mittels Basic
gibt es auch noch die Möglichkeit, über Digest
das auf verschlüsseltem Wege zu tun. Allerdings sollen damit so einige Browser ein Problem haben.
3. Benutzer und Gruppen einbinden
Dazu muss die .htaccess
um folgende Einträge ergänzt werden. Dabei werden einfach nur die beiden Dateien eingebunden.
AuthUserFile /xampp/users/.htusers
AuthGroupFile /xampp/users/.htgroups
4. Zugriffsrechte für Benutzer setzen
Das geschieht über require user
. Und die werden dann einfach dahinter aufgelistet.
Require user peter jochen ralf
In diesem Fall haben wir also alle drei aus der .htusers
in die Liste aufgenommen. Ruft jetzt mal den Ordner
zugriffsschutz
über den Browser auf. Dann erscheint der (hoffentlich) allseits bekannte Login-Dialog. Wenn ihr
jetzt die korrekten Daten eingebt, also zum Beispiel peter
und blubb
, so landet ihr auf der index.htm
.
Wirkungsweise
Was genau passiert nun bei so einem Login? Zunächst mal sendet der Server einen 401-Statuscode (forbidden
, vulgo "Du kommst
hier net rein"). Das veranlasst den Browser, das Dialogfeld einzublenden. Nach einem erfolgreichen Login merkt sich nun der Browser
die Zugangsdaten und sendet sie automatisch bei jedem weiteren Request mit. Und zwar so lange, bis er geschlossen wird.
Gibt man dagegen falsche Daten ein, so erscheint das Dialogfeld immer wieder. Allerdings hängt das vom Browser ab. Der IE
bricht nach dem dritten Mal ab, der Firefox dagegen kann damit einfach nicht mehr aufhören. Klickt man dann auf "Abbrechen" so teilt
man dem Server mit "Ey Alder, isch hab null Ahnung" und bekommt dann eine 401-Seite zu Gesicht. Die man übrigens auch über
.htaccess
selber festlegen kann. Ihr wisst ja wie. Oder könnt es ahnen. Denkt einfach an die 404-Seite.
5. Zugriffsrechte für Gruppen setzen
In unserem Fall dürfen sich derzeit alle Benutzer aus der .htusers
einloggen. Will man das dagegen nur bestimmten
Gruppenangehörigen zugestehen, so geschieht das mit folgendem Eintrag.
Require group admins
So, jetzt haben nur noch peter
und jochen
aus der Gruppe admins
Zugriff. ralf
als schnöder mod
kommt nicht mehr herein. Probiert es aus.
zurück zum vorherigen Abschnitt weiter zum nächsten Abschnitt