Søg

Web-brugerstyring med hård hånd

Brugerstyring til web er ikke så svært at udvikle med session-variabler og login-scripts, men den hjemmelavede brugerstyring har nogle unoder i forhold til at benytte webserverens indbyggede HTTP-autentifikation. Apache har en række muligheder til at styre brugere, og i denne artikel ser vi på mulighederne.

2. juli 2002 kl. 10.20
Tania Andersen Tania Andersen

Hvad er HTTP-autentifikation

Brugerstyring er vigtig til mange typer af webbaserede applikationer. Der er ofte behov for, at applikationen holder styr på, hvilke brugere, der udfører hvilke handlinger, fra de har logget på systemet, til deres session er afsluttet.

Grundlæggende er der to måder at udføre brugerstyring på: HTTP-brugeridentifikation (Basic authentication), som webserveren håndterer, og styring med session-variabler.

Brugerstyring med session-variabler har vi gennemgået i en tidligere artikel. Denne metode er både nem at implementere og vil ofte opfylde behovet.

Men problemet med denne metode er, at det kun er sider med scripts, som kan beskyttes. Statiske HTML-sider og andre ressourcer, som grafik og andet, kan stadig tilgås, hvis blot brugeren kender webadressen til den pågældende ressource.

I nogle tilfælde kan man have et behov for fuldstændig at lukke dele af mappe-hierarkiet på webserveren af for uvedkommende brugere. Så kan man putte hvad som helst ind i brugernes mapper, og være helt sikker på, at den kun er autentificerede brugere, som har adgang til ressourcerne i disse mapper.

Umiddelbart kan HTTP-autentifikation virke en smule indviklet, da det kræver et samspil med webserveren, men det behøver slet ikke være så svært.

Hvad er HTTP-autentifikation
Ved HTTP-brugeridentifikation (Basic authentication) sættes webserveren op til at betragte en del af webstedet som beskyttet. Man skal definere et realm - et rige - hvor brugeren må befinde sig. Hvis brugeren bevæger sig fra et realm til et andet, skal hun igen indtaste brugernavn og password. For de nysgerrige gennemgår vi processen i detaljer i det følgende.

Når en ressource er sat op til at være beskyttet med basic authentication, som metoden kaldes, foregår det ved at webserveren returnerer statuskode

401 Authentication Required

til browseren. Når browseren modtager svaret, spørger den brugeren om brugernavn og password. I Internet Explorer og Netscape foregår det ved, at en lille dialogboks kommer frem. De indtastede værdier sendes tilbage til serveren, og hvis brugerens oplysninger stemmer overens med serveren brugerliste, returneres den ønskede ressource.

Da HTTP-protokollen er tilstandsløs, skal denne transaktion foretages for hver eneste beskyttede ressource. Heldigvis for brugeren gemmer browseren login-informationen i resten af sessionen, og fremsender brugernavn og password automatisk, når brugeren bevæger sig rundt i det beskyttede realm. Når sessionen er slut, som regel når brugeren lukker browser-programmet, smides informationen væk, og ved næste session starter login-processen forfra.

Brugerfiler og Apache-konfiguration

I Apache kan brugere, som skal styres med HTTP-autentifikation, opsættes manuelt, og det gennemgår vi i det følgende.

Med Apache følger programmet htpasswd, som skaber en fil med brugeroplysninger. Når en ny password-fil skal oprettes, skal parameteren -c for create angives. Stien til filen, og til slut brugernavnet som skal tilføjes passwordfilen, skal også oplyses. Programmet afvikles i et terminalvindue, og under Windows ser det sådan ud:

D:\PROGRA~1\EASYPHP\APACHE\BIN>htpasswd -c testbrugerfil tania

Automatically using MD5 format on Windows.

New password: *****

Re-type new password: *****

Adding password for user tania

Nu tilføjes de følgende linier til Apaches konfigurationsfil: 
Alias /test/ "D:\Program Files\EasyPHP\www\test"

<Directory "D:\Program Files\EasyPHP\www\test">

    AuthType Basic

    AuthName "By Invitation Only"

    AuthUserFile "D:\Program Files\EasyPHP\apache\bin\testbrugerfil"

    Require valid-user

</Directory>

Som altid med Apache er der mange konfigurationsmuligheder, og de gennemgås udførligt i Apache-manualen.

Derefter genstartes serveren, og når klienten åbner adressen 

http://localhost/test/
dukker dialogboksen frem i browseren:

Metoden med at tilføje brugere manuelt er selvfølgelig ikke brugbar, hvis der er mange brugere. Derudover kan der opstå ydelsesmæssige problemer, hvis filen med brugeroplysninger bliver for stor.

Heldigvis kan Apache konfigureres til at benytte databaser som lagring for brugeroplysninger. En række forskellige database-typer er understøttet, og det nemmeste er at benytte "flade" databaser, enten i formatet DB (også kendt som Berkeley DB) og DBM-filer. De to Apache-moduler, som klarer ærterne her, er henholdsvis mod_auth_db og mod_auth_dbm, som skal være installeret.

Den gode nyhed er, at sådanne database-filer kan manipuleres ved hjælp af scripting-sprog som for eksempel PHP. På den måde kan man altså automatisere processen, og bygge mere venlige webgrænseflader til administration af brugerne.

De flade databaser er nemme at have med at gøre, da de simpelthen blot binder en bestemt nøgle med en bestemt værdi. Det er primitivt, men let at gå til. Funktionerne til at håndtere tabellerne med findes i kapitel XX. (DBM Functions) i den seneste version af PHP-manualen samt kapitel XVII. Database (dbm-style) abstraction layer functions. Ligeledes kan PHP-scripts tilgå brugerens status ved hjælp af variablerne $PHP_AUTH_USER og $PHP_AUTH_PW. Herom kan man læse mere i en artikel på websitet WebmasterBase.

Mere om samme emne

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Comby Denmark A/S

    Service Delivery Manager til spændende stilling i Grønland

    Grønland og Færøerne

    TV2

    Informationssikkerhedskonsulent til TV 2

    Fyn

    Netcompany A/S

    Supporter til Service Desk

    Københavnsområdet

    Supporters A/S

    It-driftskonsulent i Jylland

    Fyn

    Se flere it-stillinger
    Cyber Security Festival 2025

    Event: Cyber Security Festival 2025

    Sikkerhed | København

    Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.200 it-professionelle. Du kan glæde dig til oplæg fra mere end 50 talere og møde mere end 30 leverandører over to dage.

    4. & 5. november 2025 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Adeno K/S har pr. 22. september 2025 ansat Steen Riis-Petersen som ServiceNow Expert. Han kommer fra en stilling som Senior Manager hos Devoteam A/S. Nyt job

    Steen Riis-Petersen

    Adeno K/S

    IT Confidence A/S har pr. 1. oktober 2025 ansat Henrik Thøgersen som it-konsulent med fokus på salg. Han skal især beskæftige sig med rådgivende salg, account management og udvikling af kundeporteføljer på tværs af it-drift, sikkerhed og cloud-løsninger. Han kommer fra en stilling som freelancer i eget firma og client manager hos IT Relation og IT-Afdelingen A/S. Han er uddannet elektromekaniker. Han har tidligere beskæftiget sig med salg af it-løsninger, account management, it-drift og rådgivning samt undervisning og ledelse. Nyt job

    Henrik Thøgersen

    IT Confidence A/S

    Netip A/S har pr. 19. august 2025 ansat Carl Severin Degn Nørlyng som IT-Supporterelev ved afd. Thisted og afd. Herlev. Nyt job

    Carl Severin Degn Nørlyng

    Netip A/S

    Signifly har pr. 1. august 2025 ansat Anders Kirk Madsen som Tech Lead. Anders skal især beskæftige sig med at hjælpe Signiflys offentlige og private kunder med at styrke forretningen gennem teknisk solide løsninger. Anders kommer fra en stilling som Business Architect hos SOS International. Nyt job

    Anders Kirk Madsen

    Signifly

    Se mere fra navnenyt

    Mest læste

    1 Hacker-alarm mod DSV pludselig forsvundet fra darkweb: "Hvis DSV har betalt, har de fået det værste fra to verdener"
    2 CGI kræver kæmpe dansk it-ordre til Deloitte annulleret på grund af fejl: Nu har dommerne kigget på sagen
    3 Test: Samsungs foldbare Galaxy Z Fold7 er en stor magtdemonstration
    4 IBM køber konsulenthus: Vil styrke sig på SAP-transformationer
    5 Morgen-briefing: Dansk topchef stopper i infrastruktur-selskab: Erstatningen er fundet / SAP-partner udvider i Norden og udnævner dansker til særlig rolle / Oracle lancerer en hel stribe AI-nyheder
    6 Apple har givet iPad Pro en overhaling: Byder på en række helt nye opdateringer
    7 Hjemmearbejde er altså ikke en rettighed: It-branchen skal gå forrest med den balancerede brug
    8 Fyringsrunde hos Amazon: Skiller sig af med 15 procent af særlig gruppe ansatte

    Se seneste uge