Hvad er HTTP-autentifikation
Brugerstyring er vigtig til mange typer af webbaserede applikationer. Der er ofte behov for, at applikationen holder styr på, hvilke brugere, der udfører hvilke handlinger, fra de har logget på systemet, til deres session er afsluttet.
Grundlæggende er der to måder at udføre brugerstyring på: HTTP-brugeridentifikation (Basic authentication), som webserveren håndterer, og styring med session-variabler.
Brugerstyring med session-variabler har vi gennemgået i en tidligere artikel. Denne metode er både nem at implementere og vil ofte opfylde behovet.
Men problemet med denne metode er, at det kun er sider med scripts, som kan beskyttes. Statiske HTML-sider og andre ressourcer, som grafik og andet, kan stadig tilgås, hvis blot brugeren kender webadressen til den pågældende ressource.
I nogle tilfælde kan man have et behov for fuldstændig at lukke dele af mappe-hierarkiet på webserveren af for uvedkommende brugere. Så kan man putte hvad som helst ind i brugernes mapper, og være helt sikker på, at den kun er autentificerede brugere, som har adgang til ressourcerne i disse mapper.
Umiddelbart kan HTTP-autentifikation virke en smule indviklet, da det kræver et samspil med webserveren, men det behøver slet ikke være så svært.
Hvad er HTTP-autentifikation
Ved HTTP-brugeridentifikation (Basic authentication) sættes webserveren op til at betragte en del af webstedet som beskyttet. Man skal definere et realm - et rige - hvor brugeren må befinde sig. Hvis brugeren bevæger sig fra et realm til et andet, skal hun igen indtaste brugernavn og password. For de nysgerrige gennemgår vi processen i detaljer i det følgende.
Når en ressource er sat op til at være beskyttet med basic authentication, som metoden kaldes, foregår det ved at webserveren returnerer statuskode
401 Authentication Required
til browseren. Når browseren modtager svaret, spørger den brugeren om brugernavn og password. I Internet Explorer og Netscape foregår det ved, at en lille dialogboks kommer frem. De indtastede værdier sendes tilbage til serveren, og hvis brugerens oplysninger stemmer overens med serveren brugerliste, returneres den ønskede ressource.
Da HTTP-protokollen er tilstandsløs, skal denne transaktion foretages for hver eneste beskyttede ressource. Heldigvis for brugeren gemmer browseren login-informationen i resten af sessionen, og fremsender brugernavn og password automatisk, når brugeren bevæger sig rundt i det beskyttede realm. Når sessionen er slut, som regel når brugeren lukker browser-programmet, smides informationen væk, og ved næste session starter login-processen forfra.
Brugerfiler og Apache-konfiguration
I Apache kan brugere, som skal styres med HTTP-autentifikation, opsættes manuelt, og det gennemgår vi i det følgende.
Med Apache følger programmet htpasswd, som skaber en fil med brugeroplysninger. Når en ny password-fil skal oprettes, skal parameteren -c for create angives. Stien til filen, og til slut brugernavnet som skal tilføjes passwordfilen, skal også oplyses. Programmet afvikles i et terminalvindue, og under Windows ser det sådan ud:
D:\PROGRA~1\EASYPHP\APACHE\BIN>htpasswd -c testbrugerfil tania
Automatically using MD5 format on Windows.
New password: *****
Re-type new password: *****
Adding password for user tania
Nu tilføjes de følgende linier til Apaches konfigurationsfil:
Alias /test/ "D:\Program Files\EasyPHP\www\test"<Directory "D:\Program Files\EasyPHP\www\test">
AuthType Basic
AuthName "By Invitation Only"
AuthUserFile "D:\Program Files\EasyPHP\apache\bin\testbrugerfil"
Require valid-user
</Directory>
Som altid med Apache er der mange konfigurationsmuligheder, og de gennemgås udførligt i Apache-manualen.
Derefter genstartes serveren, og når klienten åbner adressen
http://localhost/test/dukker dialogboksen frem i browseren:
Metoden med at tilføje brugere manuelt er selvfølgelig ikke brugbar, hvis der er mange brugere. Derudover kan der opstå ydelsesmæssige problemer, hvis filen med brugeroplysninger bliver for stor.
Heldigvis kan Apache konfigureres til at benytte databaser som lagring for brugeroplysninger. En række forskellige database-typer er understøttet, og det nemmeste er at benytte "flade" databaser, enten i formatet DB (også kendt som Berkeley DB) og DBM-filer. De to Apache-moduler, som klarer ærterne her, er henholdsvis mod_auth_db og mod_auth_dbm, som skal være installeret.
Den gode nyhed er, at sådanne database-filer kan manipuleres ved hjælp af scripting-sprog som for eksempel PHP. På den måde kan man altså automatisere processen, og bygge mere venlige webgrænseflader til administration af brugerne.
De flade databaser er nemme at have med at gøre, da de simpelthen blot binder en bestemt nøgle med en bestemt værdi. Det er primitivt, men let at gå til. Funktionerne til at håndtere tabellerne med findes i kapitel XX. (DBM Functions) i den seneste version af PHP-manualen samt kapitel XVII. Database (dbm-style) abstraction layer functions. Ligeledes kan PHP-scripts tilgå brugerens status ved hjælp af variablerne $PHP_AUTH_USER og $PHP_AUTH_PW. Herom kan man læse mere i en artikel på websitet WebmasterBase.
