loginscript für Apache und mysql (Perl/CGI)

[thread]18127[/thread]

loginscript für Apache und mysql

Tags: perl5 CGI Ähnliche Threads

Leser: 24

Articles: hide open all | hide show old branches

+17 replies
Gast piet

2013-02-09 12:21

Hallo,

da ich einen logout auf meine Webseite machen will muss ich nun auch ein login per Script implementieren.

"Zitat: ohne login auch kein logout möglich" Das ist doch noch immer richtig, oder ??

Ich benutze eine mysql Datenbank für die user/passwort Abfrage.
Nun möchte ich, wenn möglich, ein fertiges Modul verwenden. Hat jemand Erfahrung welches Modul (cpan) einfach zu intergieren ist. bzw. eine Schritt für Schritt Anleitung. Bei google gibt es zig verschiedene Versionen dies zu lösen, was aber ist die Ideale Lösung für mich.

Gruß
piet
Last edited: 2013-02-09 12:28:27 +0100 (CET)
- pq
  
  2013-02-09 13:09
  
  User since
  2003-08-04
  12208 Artikel
  Admin1
  
  CGI::Session
  Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
  lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
- bianca
  
  2013-02-09 16:35
  
  User since
  2009-09-13
  7016 Artikel
  BenutzerIn
  
  Guest piet
  da ich einen logout auf meine Webseite machen will muss ich nun auch ein login per Script implementieren.
  
  "Zitat: ohne login auch kein logout möglich" Das ist doch noch immer richtig, oder ??
  
  Was ist das denn für eine Frage?
  Nach dem Motto, "bevor ich das Haus verlassen kann muss ich es betreten haben"? Willst du uns veräppeln?
  
  Aus welchem Grund geht man denn von hinten an eine Aufgabenstellung heran und fängt mit einem Logout an, um daraus eine Notwendigkeit für einen Login abzuleiten???
  10 print "Hallo"
  20 goto 10
- +14 replies
- GwenDragon
  
  2013-02-09 18:42
  
  User since
  2005-01-17
  14758 Artikel
  Admin1
  
  Schau dir mal CGI::Session::Auth::DBI an.
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +13 replies
  - Gast piet
    
    2013-02-11 14:12
    
    Hallo,
    
    2013-02-09T17:42:26 GwenDragon
    Schau dir mal CGI::Session::Auth::DBI an.
    
    das sieht recht gut aus.
    Ein Beispiel ist dabei.
    
    So etwas habe ich natürlich noch nie gemacht, deshalb hier die banale Frage.
    
    Wie stelle es an, vermutlich in der httpd.conf, das immer mein Login-Script beim Zugriff auf die Webseite gestartet wird. ??
    
    Gruß
    piet
    Last edited: 2013-02-11 14:27:26 +0100 (CET)
    - +12 replies
    - GwenDragon
      
      2013-02-11 15:13
      
      User since
      2005-01-17
      14758 Artikel
      Admin1
      
      Eigentlich wird es so gemacht, dass die Anwendung prüfen muss ob schon korrekt authentifiziert/eingeloggt war.
      
      Pseudocode:
      
      Code: (dl )
      
      1 2 3 4 5 6 7
      
      Lese SessionID (aus oder Cookie, URL) Wenn SessionID zu Session existiert Dann # ist eingeloggt Führe erlaubte Programmteile aus Sonst Rufe Login auf
      
      //EDIT:
      Was den Server anbelangt, bei welchen URL soll denn eine Loginabfrage passieren?
      Last edited: 2013-02-11 15:15:29 +0100 (CET)
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - +11 replies
      - Gast piet
        
        2013-02-11 17:49
        
        Hallo,
        
        ja.. der Ablauf ist mir klar.
        
        Wer oder wie wird beim ersten öffnen/aufrufen der Webserver-IP (index.html) das "check-login" Script aufgerufen.
        Wer startet das "check-login" Script ??
        
        bzw. wie wird es beim Aufruf der 2, 3, usw. Webseite aufgerufen.
        
        Ich dachte das funktioniert wie htaccess, einmal das "check-login" aufrufen und gut ist es.... wie gesagt ich probiere so ein login das erste mal.
        
        Bin für jeden Tip dankbar.
        
        Gruß
        piet
        Last edited: 2013-02-11 17:50:33 +0100 (CET)
        
        +10 replies
        
        topeg
        
        2013-02-11 18:33
        
        User since
        2006-07-10
        2611 Artikel
        BenutzerIn
        
        Die Frage ist: Was willst du genau machen?
        
        Ohne eine genaue Definition deiner Ziele weißt du nicht was du brauchst und wir erst recht nicht.
        
        Nun gibt es ein paar Dinge zu klären:
        
        Willst du ganz normale Internet Seiten (".html") schützen, oder ein/mehrere Scripte (".pl", ".cgi", ".php", ...)
        Wie soll das Login erfolgen? Soll wie bei ".htaccess" ein Loginfenster auftauchen, oder soll das Login "in der Seite" sein?
        
        Wie es weiter geht hängt von deinen Antworten ab.
        
        +9 replies
        
        Gast piet
        
        2013-02-11 20:50
        
        Hallo,
        
        du hast recht.... von Anfang an.
        
        Derzeit habe ich meine Webserver mittels htaccess mit/ohne mysql realisiert.
        
        Nun will ein Kunde einen Logout Button haben.
        Somit habe ich ein wenig gegoogelt und komme auf die Idee mit dem Login Script, damit ich einen Logout realisieren kann.
        Nebenbei könnte ich das Loginscript auch mit CAPTCHA versehen, falls gewünscht.
        
        Meine Idee wäre. (wir sagen mal "check-login" heisst das perl-script für die auth)
        
        Sobald der Webserver aufgerufen wird (egal welche Seite inkl. cgi-scripte)
        wird erst das "check-login" Script gestartet das als Parameter die Adresse der angewählten Webseite mitbekommt.
        
        Bei Login -> Adresse der angewählten Webseite wird geöffnet
        Bei no-Login -> Login Webseite geöffnet.
        
        So müsste es gehen, aber im Detail weiß ich gar nicht wie ich das Script immer starten lasse. Apache ??
        Hier bin ich für jeden Tip dankbar.
        
        Gruss
        piet
        Last edited: 2013-02-11 20:56:30 +0100 (CET)
        
        topeg
        
        2013-02-11 22:30
        
        User since
        2006-07-10
        2611 Artikel
        BenutzerIn
        
        Du stellst es dir einfacher vor als es ist.
        
        Jeder Zugriff auf eine Seite oder Script muss geprüft werden. Es geht nicht, das man nur einmal Prüft. Das liegt daran, dass HTTP ein zustandsloses Protokoll ist. Jeder Zugriff ist völlig unabhängig von allen vorherigen und allen nächsten.
        Damit nicht bei jedem Zugriff die Frage nach Name und Passwort auftaucht, gibt es eine "Session". Das ist ein Datensatz auf dem Server, der Notizen enthält (ID der session, ob das login erfolgt ist, Daten zur Identifizierung des Browsers.). Zu wem die Notizen gehören bestimmt eine SessionID welche dem Nutzer mitgeben wird, und die er unsichtbar als Cookie oder als GET/POST Parameter bei jedem Zugriff an den Server sendet. Das zu Login und Session.
        
        Nun zum eigentlichen Schutz.
        Du musst alle wesentlichen Zugriffe auf ein Script umleiten, welches diese Auswertet. Diese lädt, wenn der Zugriff erlaubt ist, die richtige HTML-Seite und sendet sie den Anfragenden zurück. Wenn die Datei ein Script ist, muss das kontrollierende Script dieses an seiner statt starten.
        
        Das Umleiten von Zugriffen kannst zu über die .htaccess machen. Der vollständige Pfad des Zugriffes findest du dann in den Umgebungsvariablen ($ENV{PATH_INFO}). Dort findest du dann auch die SessionID entweder unter den GET-Parametern ($ENV{QUERY_STRING}) oder in einem Cookie ($ENV{HTTP_COOKIE}). Das wertest du aus (das Modul CGI kann dir dabei helfen). Wenn alles korrekt, ist zeigst du die Seite/Script, wenn nicht dann Zeigst du das Login.
        
        Bei Scripten musst du schauen in welcher Sprache sie geschrieben sind und per exec('interpreter','script') starten. Hier musst du vorsichtig sein, wenn du das Modul CGI benutzt. Normalerweise nimmt es sich was es kriegen kann und leert auch den Puffer für "POST" requests. Du kannst CGI zwingen POST anfragen zu ignorieren. Dann bleibt der Puffer unangetastet (du bekommst aber Probleme, wenn nur dort die SessionID zu finden ist). Weiterhin musst du darauf achten nicht alles mögliche an die Interpreter zu senden. Das kann enorme Sicherheitslöcher reißen. Das selbe gilt auch beim anzeigen der Seiten. Prüfe die Pfade sehr genau und stelle sicher das nur Dateien, die zur Seite gehören geladen werden.
        
        Also noch einmal stichwortartig:
        
        - schreibe eine .htaccess die alle HTML und Scriptanfragen an ein Script umleitet.
        Beispiel: /cgi-bin/session.pl
        
        Code: (dl )
        
        1 2 3
        
        RewriteEngine On RewriteBase /public RewriteRule ^(.*) /cgi-bin/session.pl/$1
        
        - Im Script:
        
        prüfe die SessionID
        Zeige Login wenn nötig
        prüfe Pfad
        lade und sende Seite oder starte script
        
        +7 replies
        
        topeg
        
        2013-02-11 22:43
        
        User since
        2006-07-10
        2611 Artikel
        BenutzerIn
        
        Was das Logout bei ".htaccess" betrifft. Das Läuft auf einer ganz anderen ebene ab als Das Login/Logout per Script. das passiert auf HTTP Ebene, und wird vom Apache kontrolliert. Wenn sich ein Nutzer verbinden will und das ohne Name und Passwort macht, meldet der Server einen Fehler und der Client zeigt dem Nutzer das Login Fenster. Sind Name/Passwort korrekt eingetragen merkt sich der Browser diese und sendet sie ab diesem Zeitpunkt bei jedem Aufruf mit. Ein Server gesteuertes Logout ist nicht vorgesehen.
        
        Was du aber machen kannst:
        Wenn ein Nutzer auf ein "Logout"-Button clickt wird eine "Falsche" Loginanfrage Gesendet ("Authentification Required") Der Client verwirft Name und Passwort des letzten Login und fragt beim Nutzer neu nach. Das ist aber nicht 100% zuverlässig, da nicht festgelegt ist was der Client mit dem alten Passwort machen soll. Jedoch verhalten sich die meisten Browser wie beschrieben und löschen das alte Passwort/Name.
        
        +6 replies
        
        Gast piet
        
        2013-02-12 11:57
        
        Hallo,
        
        2013-02-11T21:43:31 topeg
        Was du aber machen kannst:
        Wenn ein Nutzer auf ein "Logout"-Button clickt wird eine "Falsche" Loginanfrage Gesendet ("Authentification Required") Der Client verwirft Name und Passwort des letzten Login und fragt beim Nutzer neu nach. Das ist aber nicht 100% zuverlässig, da nicht festgelegt ist was der Client mit dem alten Passwort machen soll. Jedoch verhalten sich die meisten Browser wie beschrieben und löschen das alte Passwort/Name.
        
        Das hörst sich gut an. Mein nächstes Problem wäre beim Login/Logout Script auch die Absicherung mit fail2ban.... der Rattenschwanz wird immer länger.
        
        Zu deinem Vorschlag, ein wenig gegoggelt und.....
        
        Code (perl): (dl )
        
        print "HTTP/1.1 401 Unauthorized";
        
        bringt nicht's.
        Auch ein
        
        Code (perl): (dl )
        
        print header('HTTP/1.1 401 Unauthorized');
        
        interessiert nicht, keine Reaktion ausser einem leeren Brwoser (Firefox)
        
        Oder hast du etwas anderes gemeint ?
        
        Gruss
        piet
        Last edited: 2013-02-12 12:08:29 +0100 (CET)
        
        +5 replies
        
        GwenDragon
        
        2013-02-12 15:31
        
        User since
        2005-01-17
        14758 Artikel
        Admin1
        
        Du kannst nur in nph-Skripten den Header so direkt ausgeben!
        Dazu muss der Skriptname mit nph- anfangen, damit der Apache-Server das weiß!
        
        Siehe http://perldoc.perl.org/CGI.html#USING-NPH-SCRIPTS
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +4 replies
        
        Gast piet
        
        2013-02-12 18:05
        
        Hallo,
        
        vielen Dank für eure Hilfe, aber ich werde noch wahnsinnig mit dem Ding.
        Derzeit sieht mein Script "nph-logout.cgi" so aus.
        
        Code (perl): (dl )
        
        1 2 3 4 5 6 7 8 9 10 11
        
        use strict; use warnings; use CGI; use CGI::Carp qw(fatalsToBrowser); use CGI qw(:cgi); my $cgi = new CGI; print $cgi->header(-nph=>1, -status=>'HTTP/1.1 401 Unauthorized'); exit;
        
        Ausser einem leeren Browser... es wird ja kein Rückgabewert gegeben passiert nicht's.
        Eigentlich sollte sich ja der Login-Dialog öffnen.
        Ich hätte nicht gedacht das diese "Kleinigkeit" so ein Problem wird.
        
        Gruss
        piet
        Last edited: 2013-02-12 18:06:28 +0100 (CET)
        
        GwenDragon
        
        2013-02-12 18:31
        
        User since
        2005-01-17
        14758 Artikel
        Admin1
        
        Wo ist dein WWW-Authenticate Header und wo dein realm?
        
        http://tools.ietf.org/html/rfc2617#section-3.2
        http://en.wikipedia.org/wiki/Digest_access_authent...
        http://en.wikipedia.org/wiki/Basic_access_authenti...
        Last edited: 2013-02-12 18:33:21 +0100 (CET)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        Gast wer
        
        2013-02-12 20:04
        
        Wie GwenDragon schon schrieb dein Header ist nicht vollständig.
        Zudem muss in einem "HTTP/1.1" Header mehr drin sein als in einem "HTTP/1.0" Header.
        Ich würde ein "HTTP/1.0"-Resonse senden. Da kann man alles weglassen bis auf "WWW-Authenticate"
        Last edited: 2013-02-12 20:05:47 +0100 (CET)
        
        Linuxer
        
        2013-02-12 21:37
        
        User since
        2006-01-27
        3890 Artikel
        HausmeisterIn
        
        Hi,
        
        ich hatte mal (vor Jahren) ähnliche Anforderungen und war jetzt ein wenig neugierig, also habe ich auch mal ein wenig experimentiert:
        
        /cgi-bin/nph-authenticate.pl
        
        Code (perl): (dl )
        
        1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
        
        #! /usr/bin/env perl use strict; use warnings; use CGI qw( -nph ) ; my $cgi = CGI->new; if ( $cgi->param('logout') ) { print $cgi->header( -status => '401 Unauthorized', "WWW-Authenticate" => qq~Basic realm="foobar"~, ), $cgi->start_html, 'Goodbye', $cgi->end_html, ; } else { print $cgi->header( 'text/html' ), $cgi->start_html(), $cgi->h1("Success"), $cgi->a({href=>"?logout=1"}, 'logout'), $cgi->end_html, ; }
        
        .htaccess:
        
        Code: (dl )
        
        1 2 3 4
        
        AuthType Basic AuthName "foobar" AuthUserFile /var/www/domain/etc/htpasswd Require user linuxer
        
        Beim ersten Aufruf von http://domain/cgi-bin/nph-authenticate.pl folgt die Basic Realm Abfrage über die .htaccess. Ist das erfolgreich, sehe ich das "Success"-Ergebnis mit logout Link. Klicke ich diesen Link, erhalte ich wieder eine Basic Realm Abfrage und ich bin "raus"...
        meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
        Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!

View all threads created 2013-02-09 12:21.