URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 1384
[ Назад ]

Исходное сообщение
"Нужна консультация по технолонии ограничения доступа"
Отправлено prashant , 29-Май-03 17:14

Помогите придумать как реализовать систему с ограничением доступа по паролю. Существует два типа пользователей: заказчики и вебмастера, которые, введя логин и пароль в стандартной html-форме должны попасть в свой "личный кабинет".
Для вебмастеров нужны возможности:
1.создать проект и задать логин и пароль заказчику
2.загрузить html-код
3.загрузить картинки/flash
4.загрузить ещё какие-нибудь файлы(например ".zip")
Для заказчика:
1.просмотреть html(с включённой в них графикой)
2.посмотреть картинки из загруженных
3.скачать файлы, загруженные вебмастером
Задача состоит в том чтобы проект могли видеть только двое - вебмастер и заказчик, прошедшие авторизацию.
Паролировать папки с помощью .htaccess - это надо чтобы пользователи набирали http://domain/folder, и там проходили авторизацию, а хочется чтобы в форме на стартовой ввели и всё..
Есть Апач, PHP, MySQL. Борюсь с этим вопросом уже несколько дней и чувствую что знаний не хватает, мож кто из спецов поделится идеями?

Содержание

Нужна консультация по технолонии ограничения доступа,prashant, 11:46 , 03-Июн-03
- Нужна консультация по технолонии ограничения доступа,demon, 14:10 , 04-Июн-03
  - Нужна консультация по технолонии ограничения доступа,prashant, 14:52 , 04-Июн-03
    - Нужна консультация по технолонии ограничения доступа,demon, 15:15 , 04-Июн-03
      - Вот, этого-то как раз мне и нужно :),prashant, 19:10 , 04-Июн-03

Сообщения в этом обсуждении

"Нужна консультация по технолонии ограничения доступа"
Отправлено prashant , 03-Июн-03 11:46

Сделал так: всех юзеров положил в базу Mysql, авторизуются они средствами PHP путём навешивания переменных сессии, но моя задача не решена полностью так как каждому юзеру соответствует как минимум одна папка которая сейчас(и, как мне кажется, в будущем так и останется) перекрыта .htaccess'ом. Этот .htaccess сейчас удаляется программно когда юзеру нужно посетить эту свою директорию. Восстанавливать .htaccess можно, конечно, запуская восстановление его из cron'а, но во-первых: если пользователь ещё работает, а .htaccess снова прописался то ему придётся вновь идти на страницу аутентификации(это в корневой директории сайта), причём вручную что не есть хорошо; во-вторых во время работы юзера со своей папкой она остаётся без защиты - .htaccess -то удалён...
В связи с этим назрел вопрос: может ли быть прописано в .htaccess что-нибудь такое чтобы проверяло переменную сессии (например $_SESSION['user_id']), а ещё лучше сравнивало бы его со значением, и на основании этой проверки допускало его в папку. Таким образом и .htaccess не придётся удалять(что само по себе уже не есть правильный метод, а только как времянка) и папка надёжно перекрыта от посторонних.
Знатоки, подскажите, а!?

"Нужна консультация по технолонии ограничения доступа"
Отправлено demon , 04-Июн-03 14:10

Правильный вопрос - половина ответа.
.htaccess забыть как страшный сон. А пользователя проверять в каждом скрипте "личного кабинета" по данным сессии. Короче, сессии - это правильное направление.

"Нужна консультация по технолонии ограничения доступа"
Отправлено prashant , 04-Июн-03 14:52

В скрипте проверить-то как раз не проблема, если бы у меня была только текстовая информация ... а как воспрепятствовать прямому скачиванию файлов из папок? Например, путь такой:
http://domain.ru/user_papka/pictures/123.gif , если нет .htaccess'a ?
>Правильный вопрос - половина ответа.
>
>.htaccess забыть как страшный сон. А пользователя проверять в каждом скрипте "личного
>кабинета" по данным сессии. Короче, сессии - это правильное направление.

"Нужна консультация по технолонии ограничения доступа"
Отправлено demon , 04-Июн-03 15:15

Вот это уже более правильный вопрос :)
Можно попробовать сделать скрипт, который будет выдавать (парсить) эти картинки от свего имени. А апачу запретить выдавать эти картинки по расширению. Или вообще складывать эти картинки в каталоге недоступном через веб.

>В скрипте проверить-то как раз не проблема, если бы у меня была
>только текстовая информация ... а как воспрепятствовать прямому скачиванию файлов из
>папок? Например, путь такой:
>http://domain.ru/user_papka/pictures/123.gif , если нет .htaccess'a ?

"Вот, этого-то как раз мне и нужно :)"
Отправлено prashant , 04-Июн-03 19:10

>Вот это уже более правильный вопрос :)
>
Предположим, я инклюдил html-документ в страницу, которая находится, к примеру, в корневом каталоге. В "теле" html'а заданы адреса картинок, (<img src="img/picture.gif"). Вот здесь и находится то самое что я побороть даже не знаю как :) Как сделать чтобы некий скрипт, вероятно лежащий в директории http://domain.ru/img принимал в качестве параметра имя картинки, брал его из нужной директории (http://domain.ru/userfolders/unicfolder/img) и посылал броузеру, а тот выводил картинку на html-странице. Если такое в принципе возможно то очень хочется узнать как...
>Можно попробовать сделать скрипт, который будет выдавать (парсить) эти картинки от свего
>имени. А апачу запретить выдавать эти картинки по расширению. Или вообще
>складывать эти картинки в каталоге недоступном через веб.
>
>
>>В скрипте проверить-то как раз не проблема, если бы у меня была
>>только текстовая информация ... а как воспрепятствовать прямому скачиванию файлов из
>>папок? Например, путь такой:
>>http://domain.ru/user_papka/pictures/123.gif , если нет .htaccess'a ?