Søg

Web-brugerstyring med hård hånd

Brugerstyring til web er ikke så svært at udvikle med session-variabler og login-scripts, men den hjemmelavede brugerstyring har nogle unoder i forhold til at benytte webserverens indbyggede HTTP-autentifikation. Apache har en række muligheder til at styre brugere, og i denne artikel ser vi på mulighederne.

2. juli 2002 kl. 10.20
Tania Andersen Tania Andersen

Hvad er HTTP-autentifikation

Brugerstyring er vigtig til mange typer af webbaserede applikationer. Der er ofte behov for, at applikationen holder styr på, hvilke brugere, der udfører hvilke handlinger, fra de har logget på systemet, til deres session er afsluttet.

Grundlæggende er der to måder at udføre brugerstyring på: HTTP-brugeridentifikation (Basic authentication), som webserveren håndterer, og styring med session-variabler.

Brugerstyring med session-variabler har vi gennemgået i en tidligere artikel. Denne metode er både nem at implementere og vil ofte opfylde behovet.

Men problemet med denne metode er, at det kun er sider med scripts, som kan beskyttes. Statiske HTML-sider og andre ressourcer, som grafik og andet, kan stadig tilgås, hvis blot brugeren kender webadressen til den pågældende ressource.

I nogle tilfælde kan man have et behov for fuldstændig at lukke dele af mappe-hierarkiet på webserveren af for uvedkommende brugere. Så kan man putte hvad som helst ind i brugernes mapper, og være helt sikker på, at den kun er autentificerede brugere, som har adgang til ressourcerne i disse mapper.

Umiddelbart kan HTTP-autentifikation virke en smule indviklet, da det kræver et samspil med webserveren, men det behøver slet ikke være så svært.

Hvad er HTTP-autentifikation
Ved HTTP-brugeridentifikation (Basic authentication) sættes webserveren op til at betragte en del af webstedet som beskyttet. Man skal definere et realm - et rige - hvor brugeren må befinde sig. Hvis brugeren bevæger sig fra et realm til et andet, skal hun igen indtaste brugernavn og password. For de nysgerrige gennemgår vi processen i detaljer i det følgende.

Når en ressource er sat op til at være beskyttet med basic authentication, som metoden kaldes, foregår det ved at webserveren returnerer statuskode

401 Authentication Required

til browseren. Når browseren modtager svaret, spørger den brugeren om brugernavn og password. I Internet Explorer og Netscape foregår det ved, at en lille dialogboks kommer frem. De indtastede værdier sendes tilbage til serveren, og hvis brugerens oplysninger stemmer overens med serveren brugerliste, returneres den ønskede ressource.

Da HTTP-protokollen er tilstandsløs, skal denne transaktion foretages for hver eneste beskyttede ressource. Heldigvis for brugeren gemmer browseren login-informationen i resten af sessionen, og fremsender brugernavn og password automatisk, når brugeren bevæger sig rundt i det beskyttede realm. Når sessionen er slut, som regel når brugeren lukker browser-programmet, smides informationen væk, og ved næste session starter login-processen forfra.

Brugerfiler og Apache-konfiguration

I Apache kan brugere, som skal styres med HTTP-autentifikation, opsættes manuelt, og det gennemgår vi i det følgende.

Med Apache følger programmet htpasswd, som skaber en fil med brugeroplysninger. Når en ny password-fil skal oprettes, skal parameteren -c for create angives. Stien til filen, og til slut brugernavnet som skal tilføjes passwordfilen, skal også oplyses. Programmet afvikles i et terminalvindue, og under Windows ser det sådan ud:

D:\PROGRA~1\EASYPHP\APACHE\BIN>htpasswd -c testbrugerfil tania

Automatically using MD5 format on Windows.

New password: *****

Re-type new password: *****

Adding password for user tania

Nu tilføjes de følgende linier til Apaches konfigurationsfil: 
Alias /test/ "D:\Program Files\EasyPHP\www\test"

<Directory "D:\Program Files\EasyPHP\www\test">

    AuthType Basic

    AuthName "By Invitation Only"

    AuthUserFile "D:\Program Files\EasyPHP\apache\bin\testbrugerfil"

    Require valid-user

</Directory>

Som altid med Apache er der mange konfigurationsmuligheder, og de gennemgås udførligt i Apache-manualen.

Derefter genstartes serveren, og når klienten åbner adressen 

http://localhost/test/
dukker dialogboksen frem i browseren:

Metoden med at tilføje brugere manuelt er selvfølgelig ikke brugbar, hvis der er mange brugere. Derudover kan der opstå ydelsesmæssige problemer, hvis filen med brugeroplysninger bliver for stor.

Heldigvis kan Apache konfigureres til at benytte databaser som lagring for brugeroplysninger. En række forskellige database-typer er understøttet, og det nemmeste er at benytte "flade" databaser, enten i formatet DB (også kendt som Berkeley DB) og DBM-filer. De to Apache-moduler, som klarer ærterne her, er henholdsvis mod_auth_db og mod_auth_dbm, som skal være installeret.

Den gode nyhed er, at sådanne database-filer kan manipuleres ved hjælp af scripting-sprog som for eksempel PHP. På den måde kan man altså automatisere processen, og bygge mere venlige webgrænseflader til administration af brugerne.

De flade databaser er nemme at have med at gøre, da de simpelthen blot binder en bestemt nøgle med en bestemt værdi. Det er primitivt, men let at gå til. Funktionerne til at håndtere tabellerne med findes i kapitel XX. (DBM Functions) i den seneste version af PHP-manualen samt kapitel XVII. Database (dbm-style) abstraction layer functions. Ligeledes kan PHP-scripts tilgå brugerens status ved hjælp af variablerne $PHP_AUTH_USER og $PHP_AUTH_PW. Herom kan man læse mere i en artikel på websitet WebmasterBase.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Test Manager – Data Quality & Engineering (Digitalt Fundament)

    Københavnsområdet

    AP Pension

    Bliv vores nye GRC-specialist – hjælp os med at forme fremtidens sikkerhed

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    VMware systemadministrator til varetagelse af kritisk serverinfrastruktur og systemer til Forsvarets cyberdivision i Hvidovre

    Københavnsområdet

    BUPL

    Product Owner til GetOrganized ESDH-løsning

    Københavnsområdet

    Se flere it-stillinger
    Årets CIO 2026

    Event: Årets CIO 2026

    Andre events | København

    Vi samler Danmarks stærkeste digitale ledere til en dag med viden og visioner. Årets CIO 2026 fejrer 21 års jubilæum, og NEXT CIO sætter spotlight på næste generation. Deltag og bliv inspireret til at forme fremtidens strategi og eksekvering.

    4. juni 2026 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Sourcing IT har pr. 2. februar 2026 ansat Susanne Sønderskov som Salgsdirektør. Hun skal især beskæftige sig med at styrke Sourcing IT’s kommercielle fundament, skalere salgsindsatsen og øge tilstedeværelsen bl.a. hos jyske kunder. Hun kommer fra en stilling som Salgsdirektør hos Right People Group ApS. Hun har tidligere beskæftiget sig med salgsledelse inden for IT-freelanceleverancer og komplekse kundeaftaler, både privat og offentligt. Nyt job

    Susanne Sønderskov

    Sourcing IT

    Christian Pedersen, emagine Consulting A/S, er pr. 1. februar 2026 udnævnt som Chief AI Officer. Han beskæftiger sig med opkvalificere emagines ansatte, udvikle interne AI-værktøjer og levere AI-projekter for kunderne. Som leder af et nye AI-team skal han også udvikle og lancere AI-produkter til markedet. Udnævnelse

    Christian Pedersen

    emagine Consulting A/S

    Adeno K/S har pr. 2. februar 2026 ansat Rikke Badsberg som ServiceNow Specialist. Hun kommer fra en stilling som ServiceNow administrator and developer hos Kamstrup. Nyt job

    Rikke Badsberg

    Adeno K/S

    Idura har pr. 1. januar 2026 ansat Joshua Pratt, 32 år, som software engineer. Han skal især beskæftige sig med at bruge sin tekniske knowhow og erfaring i teamet for extensions og integrationer. Han kommer fra en stilling som Tech Director hos NoA Ignite Denmark. Han har tidligere beskæftiget sig med komplekse webprojekter, senest udviklingen af det nye website og e-commerce-platform for tivoli.dk. Nyt job

    Joshua Pratt

    Idura

    Se mere fra navnenyt

    Mest læste

    1 Efter 15 år opdaterer Microsoft vigtig sikkerhedsfunktion på millioner af Windows-computere: Det kommer det til at betyde
    2 Omdiskuteret filformat får kraftig kritik: 'Microsoft bør grundlæggende redesigne sin kontorprogrammer'
    3 30 energifaciliteter ramt: Russisk angreb på stort europæisk land er en generalprøve, advarer Google
    4 Kender du 996-modellen? Nej, det er ikke en Porsche men en ekstrem arbejdskultur, der spreder sig i AI-selskaber
    5 Europæiske datatilsyn har 'betydelige bekymringer' om ny GDPR-lov - bør ikke vedtages
    6 Sådan ombygger og strømliner Elon Musk xAI med lynets hast- gør klar til verdens måske største børsnotering
    7 Morgen-briefing: USA mener at Apple fremmer venstreorienterede holdninger / Rusland strammer grebet om Telegram - vil have russerne over på Max / Discord indfører aldersverifikation - indfører 'teen-per-default"
    8 Danmarks største fiber-selskab efter hård priskritik fra Fastspeed: Derfor hæver vi priserne

    Se seneste uge