Problem mit Login-Bereich/Objekt und Zugriff auf .htaccess -geschützte Dateien/Verzeichnisse

  • Hallo,


    ich habe ein großes Problem.


    Ich habe mit Website X5 eine Website erstellt mit einem Login-Bereich. Soweit funktioniert auch alles einwandfrei.


    Nun soll auf der Seite, auf der der eingeloggte User landet, ein LINK angezeigt werden, so dass der User nach Anklicken
    auf eine andere Datei (index.html) weitergeleitet wird.


    Das Problem dabei:
    1) Die Datei bzw. alle Dateien in dem Verzeichnis, zu dem der User bei Anklicken des Links weitergeleitet wird, sind
    per .htaccess geschützt.
    2. Durch diesen Schutz muss der User nun nochmals Benutzername und Passwort eingeben (identisch mit den bei
    Website X5 hinterlegten Daten des Users für den Login-Bereich)
    3. Eine Weiterleitung der Art: http://username:passwort@http://www.meinedomain.de/_HS32/ funktioniert leider in
    allen neueren Browsern nicht mehr.


    Auf den Benutzernamen und das Passwort des im (Website X5)Login-Bereich eingeloggten Users kann ich per PHP-Variablen zugreifen
    (das hab ich mittlerweile rausgefunden).


    Leider hab ich keine PHP-Kenntnisse außer dass ich mir aus Beispielcodes entsprechendes zusammen-zimmern könnte ?(


    Das Problem hab ich bei answers.websitex5.com auch schon dargelegt, allerdings keine brauchbare Antwort erhalten.


    Was ich bräuchte, wäre eine der folgenden Möglichkeiten:
    a) Einen Link zu erstellen, der Seiten eines per .htaccess -geschützten Verzeichnisses aufrufen und dabei
    Benutzername/Passwort mit übergeben kann, so dass der User den Browser-Dialog für die Authentifizierung nicht mehr
    zu Gesicht bekommt.
    b) Die Verzeichnisse mit den (zu schützenden) Seiten außerhalb des Webroot-Verzeichnisses abzulegen und irgendwie per
    PHP darauf zuzugreifen
    c) jede andere Möglichkeit, die euch einfällt


    Hier mal die Serververzeichnisstruktur:
    Serververzeichnisse.png
    Das Verzeichnis "_DL" liegt 1 Ebene unterhalb des Webroot und in "_DL" ist die mit WebsiteX5 erstellte Website mit dem Login-Bereich.
    Im Verzeichniss "User/Roegele/_HS32" befindet sich eine ".htaccess"-Datei, die alles in diesem Verzeichnis per Passwort schützt.


    Die Dateien, die in "_HS32" liegen, sind ein sog. HomepageKit zur Visualisierung von Datenlogger-Daten und
    werden von einer Firma kostenlos zur Verfügung gestellt. Die Dateien sind daher vorgefertigt.


    Der User soll also nach dem Login bei meiner mit WebsiteX5 erstellten Seite zu der "index.html" des HomepageKit
    für Datenlogger im Verzeichnis "_HS32" weitergeleitet werden. Das Verzeichnis und alle Dateien muss ich jedoch
    schützen, damit nicht andere User/Webseitenbesucher/Hacker durch direkte Eingabe des Links
    http://www.meinedomain.de/_DL/User/Roegele/_HS32/index.html
    unberechtigterweise auf die Datei/Daten zugreifen können
    .


    Falls jemand eine Lösung oder einen Lösungsansatz weiß, wäre es sehr nett, wenn ihr mir das möglichst anhand
    vollständiger Code-Beispiele zeigen könntet bzw. mir sagt, wo ich dass in WebsiteX5 einfügen oder erstellen muss.


    Vielen Dank schonmal.


    Gruß
    Ralf

  • Hi,


    und nein, auch dieser Link hilft nicht weiter. Ich will ja keine Dateien zum Download anbieten.


    Nochmal in Kurzform:
    - Website mit WebsiteX5 erstellt mit Login-Bereich
    - User "roegele" mit Passwort "test" in WebsiteX5 -> Zugansgverwaltung angelegt
    - User "roegele" mit Passwort "test" in der .htpasswd angelegt und Verzeichnis "www.meinedomain.de/_DL/User/roegele/_HS32/ per .htaccess geschützt
    - User "roegele" loggt sich in meiner Website mit Passwort "test" ein
    - User "roegele" landet nach dem Einloggen auf seiner Kundenseite "roegele.php" ( http://www.meinedomain.de/_DL/roegele.php )
    - auf dieser Seite ist ein Link a là <a href="User/roegele/_HS32" target=_blank">Datenlogger-Visualisierung"</a>
    - wenn der User nun auf diesen Link klickt, dann kommt dieses bescheidene Authentifizierungs-Dialogfenster des Browsers,
    wo der User wieder zur Eingabe von Nutzername/Passwort aufgefordert wird.
    Da er sich aber ja schon auf meiner Seite mit den richtigen Daten eingeloggt hat und in der .htaccess genau dieselben
    Angaben hinterlegt sind, soll dieses Loginfenster es Browsers umgangen werden, so dass der User sofort die verlinkte
    Seite sieht - ohne erneute Eingabe von Zugangsdaten.


    Ich kann auch gerne auf den Schutz per .htaccess verzichten, wenn es eine andere Lösung gibt, die sicherstellt, dass:
    1) Der Zugriff auf "www.meinedomain.de/_DL/User/roegele/_HS32/" bzw. "www.meinedomain.de/_DL/User/roegele/_HS32/index.html
    (oder jede andere Datei in "_HS32") nicht durch direkte Eingabe des Links in die Adresszeile des Browsers oder sonstwie aufgerufen werden kann.
    2) Die "Datenlogger-Monitoring" - Seite nur vom Kundenbereich des Users über den dort dargestellten Link erreichbar ist.


    Was nicht möglich und auch nicht erwünscht ist, ist eine Änderung an den Dateien des "Datenlogger-Monitoring" im Verzeichnis "_HS32".
    Auch eine Änderung der Verzeichnisstruktur ist nicht mehr möglich (also ../User/username/_XX ), da diese Verzeichnisse in den Datenloggern
    selbst eingestellt sind und diese die Daten dorthin übertragen.


    Gruß
    Ralf

  • ich hatte dich aber auch schon an das richtige Forum verwiesen.
    http://www.php.de/beruflich/


    Das du das nicht geschenkt bekommst sollte klar sein.


    Bei uns gehen wir auch schon näher auf solche Fragen ein aber die PHP Freaks sind wir auch nicht. Wenn ich mich damit näher beschäftigen würde und genaueres über die die Daten im htaccess geschützten Ordner wissen würde wäre das bestimmt auch von mir machbar durch probieren. Doch diese Zeit das zu realisieren fehlt mir. Du bist definitv in einem Forum besser aufgehoben welches sich mit der Problematik mehr beschäftigt. Aber um eine gewerbliche Anfrage wirst du nicht drum rum kommen.