PHP: Autentisering via usr:pass@host

najk · 2006-04-30, 11:26

Okej,
Om man använder sig av tex länken
https://root:[email protected]/dns/

Så vill man ju inte att hela världen ska få veta att rootlösenordet är banan,
vilket nu syns i refererloggar etc.

Man vill ju att det ska stå
https://kund.loopia.se/dns/

Så när användaren har loggat in hur skickar man honom vidare till samma adress fast utan användarnamn och lösenord i adressen utan att det blir en hemsk loop.
Webbläsaren kommer ju komma ihåg vilket användarnamn och lösenord användaren har.
Och att skicka vidare alla som frågar efter /dns/ till /dns/?username=cleared är inte ett alternativ.

Så det bör finnas ett sätt att se hela adressen användaren frågat efter... eller?.
och lösning i php, eller med mod_rewrite är okej.

Lindahl · 2006-04-30, 11:36

Har svårt att tänka mig att användarnamn och lösenord skickas med i referern, det borde sorteras bort på samma sätt som https-länkar inte tas med om domänerna skiljer sig åt. Men å andra sidan, att förlita sig på en webbläsares beteende är ju inget att rekommendera.

kullervo · 2006-04-30, 12:46

Du har visst missat att HTTP har stöd för autentisering =)

http://se2.php.net/features.http-auth

Lindahl · 2006-04-30, 13:42

Vem har missat vad? Vad jag menar är att åtminstone Firefox skriver adressen utan användarnamn och lösenord referer-headern, den klipper alltså bort användarnamn och lösenord. IE har inte ens stöd för användarnamn och lösenord i url:en, det tog de väl bort för ett par år sen.

kullervo · 2006-04-30, 14:48

Citat:

Originally posted by Lindahl@Apr 30 2006, 12:42
Vem har missat vad? Vad jag menar är att åtminstone Firefox skriver adressen utan användarnamn och lösenord referer-headern, den klipper alltså bort användarnamn och lösenord. IE har inte ens stöd för användarnamn och lösenord i url:en, det tog de väl bort för ett par år sen.

Syftade på att najk missat att HTTP, precis som du gissar dig till, har stöd för autentisering.

Användarnamn och lösenord skickas alltså inte ihopklumpat med Host-headern utan är helt egna headers som är till för just autentisering och inget annat.

kullervo · 2006-04-30, 14:50

Citat:

Originally posted by najk@Apr 30 2006, 10:26
Så vill man ju inte att hela världen ska få veta att rootlösenordet är banan,
vilket nu syns i refererloggar etc.

WTF? Vilken webbläsare är så dum att den skickar med användarnmn och lösenord i referer-URL:en?

Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)

Menu

PHP: Autentisering via usr:pass@host