.htaccess - Aussperren Teil 1
1. Die Abschnitte
- Einführung
- mod_rewrite Teil 1
- mod_rewrite Teil 2
- mod_rewrite Teil 3
- mod_rewrite Teil 4
- Weiterleitungen
- Aussperren Teil 1
- Aussperren Teil 2
- Zugriffsschutz Teil 1
- Zugriffsschutz Teil 2
- PHP-Einstellungen Teil 1
- PHP-Einstellungen Teil 2
- Fazit
2. Den Zugriffsschutz einrichten
Das geschieht über die .htaccess-Datei im Ordner zugriffsschutz. Zunächst mal muss das entsprechend
initialisiert werden.
AuthType Basic
AuthName 'login'
Bitte nicht den AuthName vergessen. Sonst bekommt ihr einen 500er um die Ohren gehauen. Ansonsten ist es völlig lattens, was
ihr da angebt. So, wenn ihr das DirectoryListing so eingestellt habt, dass die
Ordner angezeigt werden, dann werdet ihr sehen, dass zugriffsschutz dort nicht mehr aufgeführt ist. Denn der ist
mittlerweile passwortgeschützt. Und nichts anderes macht AuthType Basic.
Ein Hinweis
Neben der unverschlüsselten Übertragung mittels Basic gibt es auch noch die Möglichkeit, über Digest
das auf verschlüsseltem Wege zu tun. Allerdings sollen damit so einige Browser ein Problem haben.
3. Benutzer und Gruppen einbinden
Dazu muss die .htaccess um folgende Einträge ergänzt werden. Dabei werden einfach nur die beiden Dateien eingebunden.
AuthUserFile /xampp/users/.htusers
AuthGroupFile /xampp/users/.htgroups
4. Zugriffsrechte für Benutzer setzen
Das geschieht über require user. Und die werden dann einfach dahinter aufgelistet.
Require user peter jochen ralf
In diesem Fall haben wir also alle drei aus der .htusers in die Liste aufgenommen. Ruft jetzt mal den Ordner
zugriffsschutz über den Browser auf. Dann erscheint der (hoffentlich) allseits bekannte Login-Dialog. Wenn ihr
jetzt die korrekten Daten eingebt, also zum Beispiel peter und blubb, so landet ihr auf der index.htm.
Wirkungsweise
Was genau passiert nun bei so einem Login? Zunächst mal sendet der Server einen 401-Statuscode (forbidden, vulgo "Du kommst
hier net rein"). Das veranlasst den Browser, das Dialogfeld einzublenden. Nach einem erfolgreichen Login merkt sich nun der Browser
die Zugangsdaten und sendet sie automatisch bei jedem weiteren Request mit. Und zwar so lange, bis er geschlossen wird.
Gibt man dagegen falsche Daten ein, so erscheint das Dialogfeld immer wieder. Allerdings hängt das vom Browser ab. Der IE
bricht nach dem dritten Mal ab, der Firefox dagegen kann damit einfach nicht mehr aufhören. Klickt man dann auf "Abbrechen" so teilt
man dem Server mit "Ey Alder, isch hab null Ahnung" und bekommt dann eine 401-Seite zu Gesicht. Die man übrigens auch über
.htaccess selber festlegen kann. Ihr wisst ja wie. Oder könnt es ahnen. Denkt einfach an die 404-Seite.
5. Zugriffsrechte für Gruppen setzen
In unserem Fall dürfen sich derzeit alle Benutzer aus der .htusers einloggen. Will man das dagegen nur bestimmten
Gruppenangehörigen zugestehen, so geschieht das mit folgendem Eintrag.
Require group admins
So, jetzt haben nur noch peter und jochen aus der Gruppe admins Zugriff. ralf
als schnöder mod kommt nicht mehr herein. Probiert es aus.
zurück zum vorherigen Abschnitt weiter zum nächsten Abschnitt