Søg

Web-brugerstyring med hård hånd

Brugerstyring til web er ikke så svært at udvikle med session-variabler og login-scripts, men den hjemmelavede brugerstyring har nogle unoder i forhold til at benytte webserverens indbyggede HTTP-autentifikation. Apache har en række muligheder til at styre brugere, og i denne artikel ser vi på mulighederne.

02. juli 2002 kl. 10.20
Tania Andersen Tania Andersen

Hvad er HTTP-autentifikation

Brugerstyring er vigtig til mange typer af webbaserede applikationer. Der er ofte behov for, at applikationen holder styr på, hvilke brugere, der udfører hvilke handlinger, fra de har logget på systemet, til deres session er afsluttet.

Grundlæggende er der to måder at udføre brugerstyring på: HTTP-brugeridentifikation (Basic authentication), som webserveren håndterer, og styring med session-variabler.

Brugerstyring med session-variabler har vi gennemgået i en tidligere artikel. Denne metode er både nem at implementere og vil ofte opfylde behovet.

Men problemet med denne metode er, at det kun er sider med scripts, som kan beskyttes. Statiske HTML-sider og andre ressourcer, som grafik og andet, kan stadig tilgås, hvis blot brugeren kender webadressen til den pågældende ressource.

I nogle tilfælde kan man have et behov for fuldstændig at lukke dele af mappe-hierarkiet på webserveren af for uvedkommende brugere. Så kan man putte hvad som helst ind i brugernes mapper, og være helt sikker på, at den kun er autentificerede brugere, som har adgang til ressourcerne i disse mapper.

Umiddelbart kan HTTP-autentifikation virke en smule indviklet, da det kræver et samspil med webserveren, men det behøver slet ikke være så svært.

Hvad er HTTP-autentifikation
Ved HTTP-brugeridentifikation (Basic authentication) sættes webserveren op til at betragte en del af webstedet som beskyttet. Man skal definere et realm - et rige - hvor brugeren må befinde sig. Hvis brugeren bevæger sig fra et realm til et andet, skal hun igen indtaste brugernavn og password. For de nysgerrige gennemgår vi processen i detaljer i det følgende.

Når en ressource er sat op til at være beskyttet med basic authentication, som metoden kaldes, foregår det ved at webserveren returnerer statuskode

401 Authentication Required

til browseren. Når browseren modtager svaret, spørger den brugeren om brugernavn og password. I Internet Explorer og Netscape foregår det ved, at en lille dialogboks kommer frem. De indtastede værdier sendes tilbage til serveren, og hvis brugerens oplysninger stemmer overens med serveren brugerliste, returneres den ønskede ressource.

Da HTTP-protokollen er tilstandsløs, skal denne transaktion foretages for hver eneste beskyttede ressource. Heldigvis for brugeren gemmer browseren login-informationen i resten af sessionen, og fremsender brugernavn og password automatisk, når brugeren bevæger sig rundt i det beskyttede realm. Når sessionen er slut, som regel når brugeren lukker browser-programmet, smides informationen væk, og ved næste session starter login-processen forfra.

Brugerfiler og Apache-konfiguration

I Apache kan brugere, som skal styres med HTTP-autentifikation, opsættes manuelt, og det gennemgår vi i det følgende.

Med Apache følger programmet htpasswd, som skaber en fil med brugeroplysninger. Når en ny password-fil skal oprettes, skal parameteren -c for create angives. Stien til filen, og til slut brugernavnet som skal tilføjes passwordfilen, skal også oplyses. Programmet afvikles i et terminalvindue, og under Windows ser det sådan ud:

D:\PROGRA~1\EASYPHP\APACHE\BIN>htpasswd -c testbrugerfil tania

Automatically using MD5 format on Windows.

New password: *****

Re-type new password: *****

Adding password for user tania

Nu tilføjes de følgende linier til Apaches konfigurationsfil: 
Alias /test/ "D:\Program Files\EasyPHP\www\test"

<Directory "D:\Program Files\EasyPHP\www\test">

    AuthType Basic

    AuthName "By Invitation Only"

    AuthUserFile "D:\Program Files\EasyPHP\apache\bin\testbrugerfil"

    Require valid-user

</Directory>

Som altid med Apache er der mange konfigurationsmuligheder, og de gennemgås udførligt i Apache-manualen.

Derefter genstartes serveren, og når klienten åbner adressen 

http://localhost/test/
dukker dialogboksen frem i browseren:

Metoden med at tilføje brugere manuelt er selvfølgelig ikke brugbar, hvis der er mange brugere. Derudover kan der opstå ydelsesmæssige problemer, hvis filen med brugeroplysninger bliver for stor.

Heldigvis kan Apache konfigureres til at benytte databaser som lagring for brugeroplysninger. En række forskellige database-typer er understøttet, og det nemmeste er at benytte "flade" databaser, enten i formatet DB (også kendt som Berkeley DB) og DBM-filer. De to Apache-moduler, som klarer ærterne her, er henholdsvis mod_auth_db og mod_auth_dbm, som skal være installeret.

Den gode nyhed er, at sådanne database-filer kan manipuleres ved hjælp af scripting-sprog som for eksempel PHP. På den måde kan man altså automatisere processen, og bygge mere venlige webgrænseflader til administration af brugerne.

De flade databaser er nemme at have med at gøre, da de simpelthen blot binder en bestemt nøgle med en bestemt værdi. Det er primitivt, men let at gå til. Funktionerne til at håndtere tabellerne med findes i kapitel XX. (DBM Functions) i den seneste version af PHP-manualen samt kapitel XVII. Database (dbm-style) abstraction layer functions. Ligeledes kan PHP-scripts tilgå brugerens status ved hjælp af variablerne $PHP_AUTH_USER og $PHP_AUTH_PW. Herom kan man læse mere i en artikel på websitet WebmasterBase.

Læses lige nu

    Seneste nyt

    |Vis seneste uge

    Annonce

    TD SYNNEX Denmark ApS

    Sales Manager, Cloud Security & Software - Ledelse & forretningsudvikling

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    IT-specialister til WAN, Routing og Switching

    Nordjylland

    VikingDanmark

    Chef for IT-teamet - drift, data og digital udvikling

    Midtjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Cyberdivisionen søger teknisk specialist/IT-tekniker

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Cloud & AI Festival 2026

    Event: Computerworld Cloud & AI Festival 2026

    Digital transformation | Ballerup

    Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 70+ leverandører og 120+ talere om AI, infrastruktur, data, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

    16 & 17 september 2026 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

    Mikkel Bernt Buchvardt

    Elbek & Vejrup A/S

    Mohamed El Haddaoui, er pr. 7. april 2026 ansat hos Dafolo A/S som IT-systemudvikler. Han skal især beskæftige sig med udviklingsopgaver relateret til Brugerklubben SBSYS. Han er nyuddannet datamatiker og har erfaring med udvikling af REST API'er og integreret databaser. Nyt job

    Mohamed El Haddaoui

    Dafolo A/S

    Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

    Michael Schou

    Netip A/S

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Se mere fra navnenyt

    Mest læste

    1 Ny opdatering kan gøre din Windows 11 hurtigere: Sådan aktiverer du den nye turbo-knap
    2 Kendt open source-organisation raser over Microsoft-alternativet Euro-Office: Gavner i al hemmelighed Microsoft
    3 Han har prøvekørt det nye europæiske alternativ till Microsoft Office: “Første gang jeg ser et reelt alternativ"
    4 Nationalmuseet ramt af cyberangreb
    5 Test: Her er musikstreameren, der løfter din lyd til næste niveau
    6 Kan den norske Remarkable-tablet redde os fra amerikansk tech og nettets kværnende malstrøm?
    7 Morgen-briefing: Garmin-ure går i sort verden over – nu kommer fikset / Ny europæisk AI-tjeneste spiller nu med Office-apps /
    8 Køberne vælter ind: Verdenshistoriens største børsnotering allerede overtegnet fire gange

    Se seneste uge