ENV: REMOTE_USER ist nicht gesetzt (gelöst) (mod_perl und Apache)

[thread]21578[/thread]

ENV: REMOTE_USER ist nicht gesetzt [gelöst]

Leser: 8

Articles: hide open all | hide show old branches

Teilbaum:
Nutzer wechseln bei HTTP Auth (7 Artikel) 2024-06-11 21:00

+47 replies
rosti

2024-05-26 09:48
User since
2011-03-19
3460 Artikel
BenutzerIn
Ich vermute die Apache > 2 machen das per Default nicht mehr. Natirlich kann man mit
Code (perl): (dl )

1 2 3 4

if( my $auth = $ENV{HTTP_AUTHORIZATION} ){ my ($basic, $cred) = split /\s+/, $auth; ( $ENV{HTTP_USER}, $ENV{HTTP_PASS} ) = split ":", MIME::Base64::decode_base64($cred); }
das auch selber machen. Dennnoch Frage in die Runde, wie man dem Apache beibringen kann diese Umgebungsvariable zu setzen.

MFG
- +2 replies
- GwenDragon
  
  2024-05-26 11:12
  
  User since
  2005-01-17
  14741 Artikel
  Admin1
  
  In Apache2 wird REMOTE_USER bei mir gesetzt in einem Perl-CGI, das mit suexec-Handler im Apache eingebunden ist.
  
  Hast du eine spezielle CGI/FastCGI/suexec-Umgebung?
  Last edited: 2024-05-26 11:13:35 +0200 (CEST)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - rosti
    
    2024-05-26 11:17
    
    User since
    2011-03-19
    3460 Artikel
    BenutzerIn
    
    Quote
    Hast du eine spezielle CGI/FastCGI/suexec-Umgebung?
    
    Nein. Aber die Idee ist gut!
    
    MFG
- GwenDragon
  
  2024-05-26 11:21
  
  User since
  2005-01-17
  14741 Artikel
  Admin1
  
  https://httpd.apache.org/docs/2.4/mod/core.html#cg...
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- +15 replies
- GwenDragon
  
  2024-05-26 11:24
  
  User since
  2005-01-17
  14741 Artikel
  Admin1
  
  Ansonsten lassen sich ja auch Umgebungsvariablem regelbasiert mit Apache2s SetEnv und SetEnvIf setzen.
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +14 replies
  - rosti
    
    2024-05-26 11:29
    User since
    2011-03-19
    3460 Artikel
    BenutzerIn
    
    2024-05-26T09:24:58 GwenDragon
    Ansonsten lassen sich ja auch Umgebungsvariablem regelbasiert mit Apache2s SetEnv und SetEnvIf setzen.
    
    Ja schon. Nur muß man hier in diesem Fall dem Apahatschie auch beibringen daß er mit Base64-Decode den Authorization-Header parsen muss.
    
    Im meiner conf steht zb
    
    Code: (dl )
    
    1 2
    
    RewriteCond %{HTTP:Authorization} ^(.*) RewriteRule .* - [e=HTTP_AUTHORIZATION:%1]
    
    d.h., daß in %1 das Ergebnis der Cond. Prüfung in die ENV gesetzt wird. Womit ich HTTP_AUTHORIZATION in ENV überhaupt erhalte.
    
    mfg
    Last edited: 2024-05-26 11:33:37 +0200 (CEST)
    - +2 replies
    - GwenDragon
      
      2024-05-26 11:36
      
      User since
      2005-01-17
      14741 Artikel
      Admin1
      
      Ich kenne das auch als
      
      Code: (dl )
      
      RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
      
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - rosti
        
        2024-05-26 11:44
        
        User since
        2011-03-19
        3460 Artikel
        BenutzerIn
        
        Ja genau. Sonst kriegste die Umgebungsvariable gar nicht, auch nicht nach einer erfolgreichen Eingabe usr+pass was mit status 401 angefordet wurde.
    - +11 replies
    - GwenDragon
      
      2024-05-26 11:44
      
      User since
      2005-01-17
      14741 Artikel
      Admin1
      
      Mit RewriteRule lässt sich doch ähnlich HTTP_USER und HTTP_PASS setzen, dann hast du es auch im CGI in %ENV.
      https://httpd.apache.org/docs/2.4/expr.html#functi... siehe unbase64
      Last edited: 2024-05-26 11:57:35 +0200 (CEST)
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - +10 replies
      - rosti
        
        2024-05-26 11:46
        
        User since
        2011-03-19
        3460 Artikel
        BenutzerIn
        
        Ja ich denke auch daß man eine Regel erstellen kann. Mit oder ohne Condition. Die Frage ist nur, wie diese Regel aussehen muss ;)
        
        PS: Die Condition kriege ich noch hin, so daß der Base-64-Teil in %1 steht.
        Wie sieht dann die ENV-VAR-Zuweisung mit unbase64(%1) aus?
        
        .
        Last edited: 2024-05-26 14:55:56 +0200 (CEST)
        
        +9 replies
        
        GwenDragon
        
        2024-05-27 10:23
        
        User since
        2005-01-17
        14741 Artikel
        Admin1
        
        Ungetestet; über RequestHeader als Zwischenspeicher: https://stackoverflow.com/a/65313397
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +8 replies
        
        rosti
        
        2024-05-27 12:31
        
        User since
        2011-03-19
        3460 Artikel
        BenutzerIn
        
        Die Idee ist gut. Leider gehts schon mit der ersten Zeile schief.
        
        MFG
        
        +7 replies
        
        GwenDragon
        
        2024-05-27 13:28
        
        User since
        2005-01-17
        14741 Artikel
        Admin1
        
        Code: (dl )
        
        1 2 3 4 5 6 7 8 9
        
        RequestHeader set X-AUTH-DECODE "expr=%{HTTP:Authorization}" RequestHeader edit X-AUTH-DECODE "^Basic (.*)$" $1 RequestHeader set USER "expr=%{unbase64:%{HTTP:X-AUTH-DECODE}}" RequestHeader set PASSWORD "expr=%{unbase64:%{HTTP:X-AUTH-DECODE}}" RequestHeader edit USER "(.*):.*$" $1 RequestHeader edit PASSWORD ".*:(.*)$" $1 RewriteRule .* - [E=HTTP_USER:%{HTTP:User}] RewriteRule .* - [E=HTTP_PASSWORD:%{HTTP:Password}] RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
        
        Das ergibt dann im CGI auch $ENV{HTTP_USER} und $ENV{HTTP_PASSWORD}
        Last edited: 2024-05-27 14:36:17 +0200 (CEST)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +6 replies
        
        rosti
        
        2024-05-27 14:47
        
        User since
        2011-03-19
        3460 Artikel
        BenutzerIn
        
        Bei mir erzeugt das einen Status 500
        
        +5 replies
        
        GwenDragon
        
        2024-05-27 16:02
        
        User since
        2005-01-17
        14741 Artikel
        Admin1
        
        Und schon nachgesehen in Serverlogdateien?
        mod_headers ist auf deinem Server aktiviert?
        Wo die Konfiguration reingeschrieben?
        
        Ist das Webhosting?
        
        Welche Apache-version hast du?
        Ich habe getestet mit Apache 2.4.59 und Perl 5.36.
        Last edited: 2024-05-27 16:17:36 +0200 (CEST)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +4 replies
        
        rosti
        
        2024-05-27 16:22
        
        User since
        2011-03-19
        3460 Artikel
        BenutzerIn
        
        Wenn mod_headers nicht aktiviert ist kann ich leider gar nichts machen. Shared Hostings. Immerhin habe ich den Authorization Header. Mein Anliegen ist darauf gegründet, daß ich den REMOTE_USER noch vor dem Laden der Routingtable brauche, also noch vor dem Laden der an den Request-URL gebundenen Responseklasse und der ganzen Sitemap die ein Benutzer dann sehen darf.
        
        In Fakt ändert eine Anmeldung nicht nur den Inhalt einer Seite sondern sämtliche Inhalte beliebig vieler Seiten. Content Negotiation via Authorization. Das heißt bspw. daß auf /index.html nach einer Anmeldung was ganz anderes stehen kann.
        
        MFG
        
        GwenDragon
        
        2024-05-27 16:37
        
        User since
        2005-01-17
        14741 Artikel
        Admin1
        
        Ja, nicht alles ist möglich – manche Sharedhoster sind restriktiv, andere haben mehr Möglichkeiten.
        
        Mein Tipp war halt eine gute Idee ohne Ausführungsmöglichkeit. Schade.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +2 replies
        
        GwenDragon
        
        2024-05-27 19:13
        
        User since
        2005-01-17
        14741 Artikel
        Admin1
        
        Und wie lässt du es nun? Wie Zeile 3 oben im Code?
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        rosti
        
        2024-05-27 19:27
        
        User since
        2011-03-19
        3460 Artikel
        BenutzerIn
        
        Ja. Wobei ich MIME::Base64 auch nur dann lade wenn ein HTTP_Authorization Header vorliegt. Es reicht also eine diesbezügliche Serverconfiguration.
        
        Code: (dl )
        
        RewriteRule .* - [e=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
- +3 replies
- rosti
  
  2024-05-26 18:41
  
  User since
  2011-03-19
  3460 Artikel
  BenutzerIn
  
  Im Übrigen finde ich HTTP_USER treffender als REMOTE_USER. Denn es geht um HTTP-Authorization.
  
  mfg
  - +2 replies
  - haj
    
    2024-05-27 09:53
    
    User since
    2015-01-07
    551 Artikel
    BenutzerIn
    
    2024-05-26T16:41:20 rosti
    Im Übrigen finde ich HTTP_USER treffender als REMOTE_USER. Denn es geht um HTTP-Authorization.
    
    Das wäre keine sonderlich gute Bezeichnung. Umgebungsvariablen, die mit HTTP_ anfangen, entsprechen den Headern, die im Request mitgeschickt werden. Wenn im Request ein Header User: wrdlbrmpfd mitgeschickt wird, dann macht ein CGI-konformer Server (der Apache per mod_cgi) daraus die Umgebungsvariable HTTP_USER mit dem Wert wrdlbrmpfd.
    
    Siehe auch RFC3875, Abschnitt 4.1.18:
    
    Quote
    Meta-variables with names beginning with "HTTP_" contain values read
    from the client request header fields, if the protocol used is HTTP.
    - rosti
      
      2024-05-27 10:09
      
      User since
      2011-03-19
      3460 Artikel
      BenutzerIn
      
      Quote
      Wenn im Request ein Header User: wrdlbrmpfd mitgeschickt wird, dann macht ein CGI-konformer Server (der Apache per mod_cgi) daraus die Umgebungsvariable HTTP_USER mit dem Wert wrdlbrmpfd.
      
      Ja Genau. Und Apache < 2 haben per Default mit dem Header Authorization: Basic dXNlcjpwYXNz
      
      die Umgebungsvariablen
      
      Code: (dl )
      
      1 2
      
      REMOTE_USER => 'user' HTTP_AUTHORIZATION => 'Basic dXNlcjpwYXNz'
      
      gesetzt (unbase64). Aber was den Namen REMOTE_USER betrifft, es heißt nunmal HTTP-Authorization und nicht REMOTE-Authorization. Nun, HTTP_REFERER ist auch falsch (orthografisch).
      
      MFG
- rosti
  
  2024-05-31 14:52
  
  User since
  2011-03-19
  3460 Artikel
  BenutzerIn
  
  Artikel:
  
  http://rolfrost.de/aubase.html
  
  Mit eingebautem Forum, danke für Hinweise und Verbesserungsvorschläge ;)
  
  .
  Last edited: 2024-05-31 15:11:20 +0200 (CEST)
- +24 replies
- rosti
  
  2024-06-04 19:19
  
  User since
  2011-03-19
  3460 Artikel
  BenutzerIn
  
  Eine interessante Sache noch: Da ein HTTP-Authorization-Header über die gesamte Browsersession gesendet wird, auch dann wenn man zwischendurch völlig andere Authorities requestet, ist es möglich je nach Benutzer/Gruppe die Routingtable zu erweitern. Und zwar derart, daß bestimmte URLs eben erst nach einer Anmeldung erreichbar sind, andererseits jedoch einen Status 404 Not Found liefern.
  
  Also, daßß hinter http://rolfrost.de/stats.html eine Anmeldung steckt ist nach außen hin gar nicht sichtbar, denn der böse Bot bekommt anstelle eines 401 einen 404.
  
  Und daß in der an http://rolfrost.de/stats.html gebundenen Responseklasse gar keine Benutzerkennung mehr geprüft werden muß.
  
  D.H. daß man auch mit HTTP Authorization eine Zugangskontrolle vom Code vollständig trennen kann!
  Last edited: 2024-06-06 11:47:41 +0200 (CEST)
  - +4 replies
  - bianca
    
    2024-06-07 07:51
    
    User since
    2009-09-13
    7015 Artikel
    BenutzerIn
    
    2024-06-04T17:19:38 rosti
    D.H. daß man auch mit HTTP Authorization eine Zugangskontrolle vom Code vollständig trennen kann!
    
    Und in welchen Fällen braucht man eine Benutzeranmeldung und gleichzeitig im Code keine Info, welcher User gerade handelt?
    10 print "Hallo"
    20 goto 10
    - rosti
      
      2024-06-07 08:34
      
      User since
      2011-03-19
      3460 Artikel
      BenutzerIn
      
      Nun, die Zugangskontrolle erfolgt im Bootstrap-Loader. Natürlich muß das da da auch kodiert sein. Wenn also ein bestimmter Benutzer angemeldet ist, bspw. der Administrator, wird die Routing-Table um eine Reihe URLs erweitert, die dahintersteckenden Anwendungen sind also nur dem Administrator zugänglich, sie sind vorher gar nicht sichtbar. Die an diese URLs gebundenen Klassen definieren Methoden für den Administrator. In dem Moment wenn also diese Klassen geladen werden ist die Anmeldung/Zugangskontrolle längst Geschichte.
      
      mfg
    - rosti
      
      2024-06-07 09:53
      
      User since
      2011-03-19
      3460 Artikel
      BenutzerIn
      
      2024-06-07T05:51:52 bianca
      2024-06-04T17:19:38 rosti
      D.H. daß man auch mit HTTP Authorization eine Zugangskontrolle vom Code vollständig trennen kann!
      
      Und in welchen Fällen braucht man eine Benutzeranmeldung und gleichzeitig im Code keine Info, welcher User gerade handelt?
      
      Um es mal so zu formulieren: Wenn man Funktionen für den Administrator schreibt muß man natürlich auch sicherstellen daß nur der Administrator diese Funktionen aufrufen kann. Idealerweise prüft man das also vorher und am Besten noch bevor die ganze Klasse geladen wird.
      
      mfg
    - rosti
      
      2024-06-10 16:44
      
      User since
      2011-03-19
      3460 Artikel
      BenutzerIn
      
      2024-06-07T05:51:52 bianca
      2024-06-04T17:19:38 rosti
      D.H. daß man auch mit HTTP Authorization eine Zugangskontrolle vom Code vollständig trennen kann!
      
      Und in welchen Fällen braucht man eine Benutzeranmeldung und gleichzeitig im Code keine Info, welcher User gerade handelt?
      
      Wenn man eine Seite/Code hat die nur von einem bestimmten Benutzer oder nur von einer bestimmten Benutzergruppe aufgerufen werden darf.
      
      Im Übrigen war das, sofern man HTTP-Authorization native über die Serverkonfiguration (.htaccess, .htpasswd) einrichtet, schon immer vom Code einer Anwendung getrennt.
      
      mfg
  - +11 replies
  - bianca
    
    2024-06-08 08:06
    
    User since
    2009-09-13
    7015 Artikel
    BenutzerIn
    
    2024-06-04T17:19:38 rosti
    D.H. daß man auch mit HTTP Authorization eine Zugangskontrolle vom Code vollständig trennen kann!
    
    Anders gefragt: wann/wie/wo braucht man das?
    10 print "Hallo"
    20 goto 10
    - +9 replies
    - rosti
      
      2024-06-08 09:10
      
      User since
      2011-03-19
      3460 Artikel
      BenutzerIn
      
      Fürs Content-Management. Die Admin::Klassen* werden erst dann geladen wenn im Authorization-Header der richtige Benutzer steht.
      
      Vermutlich können andere Frameworks sowas gar nicht bzw. lösen das alles mit Spaghetti-Code.
      
      MFG
      Last edited: 2024-06-08 09:26:37 +0200 (CEST)
      - +8 replies
      - Raubtier
        
        2024-06-10 16:53
        
        User since
        2012-05-04
        1075 Artikel
        BenutzerIn
        
        2024-06-08T07:10:33 rosti
        Vermutlich können andere Frameworks sowas gar nicht bzw. lösen das alles mit Spaghetti-Code.
        
        Alle doof außer ich. SCNR.
        
        Was machst du eigentlich, wenn du deinen Code in irgendeine Firmenlandschaft einbauen sollst, wo dann z.B. Okta gefordert wird? Oder wenn du auf mehreren Servern läufst? Syncst du dann immer die .htaccess auf alle Server? Und wie machst du User-Management, d.h. User löschen und neu anlegen?
        
        +6 replies
        
        rosti
        
        2024-06-10 17:20
        
        User since
        2011-03-19
        3460 Artikel
        BenutzerIn
        
        Quote
        Syncst du dann immer die .htaccess auf alle Server?
        
        Na, ich habe doch hier und da http://rolfrost.de/aubase.html beschrieben wie man genau DAS vermeidet. Und wenn ein Framework auf mehreren Server laufen soll, dann funktioniert das auch nur dann wenn alle Server gleich konfiguriert sind.
        
        MFG
        
        Wie trennst Du denn Authorization vom Code?
        
        +3 replies
        
        bianca
        
        2024-06-11 07:57
        
        User since
        2009-09-13
        7015 Artikel
        BenutzerIn
        
        2024-06-10T15:20:47 rosti
        Wie trennst Du denn Authorization vom Code?
        
        Da ich es noch immer nicht begreife frage ich nochmal:
        In welchen Fällen braucht man eine Authorization (ich definiere das als Login), von der die eigentliche Anwendung nichts weiß? Ich brauche doch in der Anwendung in jedem Fall die Info, welcher User da handelt, sonst bräuchte man doch die Authorization nicht. Denn überall wo Authorization ist, ist ja immer mindestens einer Admin und ein weiterer nicht Admin, also zwei Entitäten gibt es doch immer. Und wie erfährt die Anwendung, wer gerade handelt, wenn die Authorization woanders liegt?
        10 print "Hallo"
        20 goto 10
        
        rosti
        
        2024-06-11 08:56
        
        User since
        2011-03-19
        3460 Artikel
        BenutzerIn
        
        Weil man die Authorization vorher prüft. Also noch bevor der ganze Code der Anwendung geladen wird. Mithin muß man das nicht mehr in der Anwendung prüfen.
        
        Das kann der Server tun oder ein eigener CGI-Prozess.
        
        PS: Zum Abrufen der Serverstatistiken braucht man keinen Benutzernamen, Und auch nicht in einem Programm was neue Inhalte in die Website einbaut. Das darf ohnehin nur der Admin aufrufen-
        Last edited: 2024-06-11 09:44:10 +0200 (CEST)
        
        rosti
        
        2024-06-11 18:11
        
        User since
        2011-03-19
        3460 Artikel
        BenutzerIn
        
        Quote
        Da ich es noch immer nicht begreife frage ich nochmal:
        In welchen Fällen braucht man eine Authorization (ich definiere das als Login), von der die eigentliche Anwendung nichts weiß?
        
        Nur nebenbei: FTP, SFTP, SCP usw.. Die Authorization läuft über die Konfiguration des Servers. Bei der Übertragung selbst, also in diesbezüglichen Programmcode spielt der Benutzername gar keine Rolle.
        
        Und dann gäbe es noch SDP, Session Description Protocol. Das kommt in RTSP zum Einsatz.
        
        +2 replies
        
        Raubtier
        
        2024-06-11 17:37
        
        User since
        2012-05-04
        1075 Artikel
        BenutzerIn
        
        2024-06-10T15:20:47 rosti
        Quote
        Wie trennst Du denn Authorization vom Code?
        
        Inwiefern trennen? Ich habe in der Regel kleine oder auch größere REST-APIs.
        
        Da ich in der Regel mit FastAPI&Python arbeite, so:
        
        Code: (dl )
        
        1 2 3 4
        
        @router.get("/users", dependencies=[Depends(user_with_admin_rights)]) async def get_users(db: Annotated[AsyncSession, Depends(get_db)]) -> UserResponse: result = await db.execute(...) return [UserResponse.from_orm(u) for u in result.scalars()]
        
        D.h. in den Dependencies wird definiert, wer das machen darf. Die Funktion user_with_admin_rights checkt dann, ob der aktuelle User ein Admin ist und das tun darf. (normalerweise gibt es mehr als nur User und Admin, im aktuellen Projekt habe ich gerade 4 Rollen, die alle unterschiedliche Dinge tun dürfen).
        
        Wenn man will, kann man diese Dependency auch dem Router hinzufügen, sodass dann z.B. gleich alle Endpunkte unter /users (oder wo auch immer) bestimmte Rechte erfordern. Generell also über die Decorators gelöst. Glücklicherweise habe ich nur sehr selten den Fall, dass ich noch im Code selber eine Fallunterscheidung treffen muss (kommt aber vor).
        
        rosti
        
        2024-06-11 18:18
        
        User since
        2011-03-19
        3460 Artikel
        BenutzerIn
        
        Quote
        @router.get("/users", dependencies=[Depends(user_with_admin_rights)])...
        
        Da hast Du ja den URL samt Auth.Konfig mitten im Programmcode stehen. Wie wär's mit einer Routing-Tabelle wo außerhalb vom Code konfiguriert wird, welcher Code (sprich: welche Klasse) an den URL gebunden wird?
        
        MFG
        
        rosti
        
        2024-06-10 17:59
        
        User since
        2011-03-19
        3460 Artikel
        BenutzerIn
        
        Und ja: Mein Framework läuft auf mehreren Servern. Und zwar plattformunabhängig in PHP, C++ und Perl
        
        Perl übrigens abwärtskompatibel bis 5.6.1
        
        MFG
    - rosti
      
      2024-06-08 20:33
      
      User since
      2011-03-19
      3460 Artikel
      BenutzerIn
      
      2024-06-08T06:06:03 bianca
      2024-06-04T17:19:38 rosti
      D.H. daß man auch mit HTTP Authorization eine Zugangskontrolle vom Code vollständig trennen kann!
      
      Anders gefragt: wann/wie/wo braucht man das?
      
      Also um wartbaren Code zu schreiben braucht man das ;)
      
      Schönen Sonntag!
  - GwenDragon
    
    2024-06-11 10:22
    
    Subtree with 8 replies: Nutzer wechseln bei HTTP Auth
    
    User since
    2005-01-17
    14741 Artikel
    Admin1
    
    Wie löst du das Problem, wenn zwei verschiedene Nutzer HTTP-Authorization auf derselben Domain/URL benutzen wollen? Ich meine browserseitig. Schließlich cachen ja die Browser Eingaben der Basic-Access-Auth Maske.
    Last edited: 2024-06-11 12:28:11 +0200 (CEST)
    die Drachin Gwen
    
    Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten

View all threads created 2024-05-26 09:48.