Пройти аутентификацию Apache без стандартного окна

untied · 7 Май 2004

Пройти аутентификацию Apache без стандартного окна

Проблема такая.
На веб-сайте некоторые папки закрыты средствами Apache (т.е. с помощью файла .htaccess). И при попытке доступа к этим папкам выскакивает стандартное окно авторизации.
Однако, заказчику не нравится это окно (из эстетических соображений). Он хочет, чтобы на начальной странице сайта посетитель вводил логин и пароль, а потом шарился по закрытым папкам (но аутентификация все равно должна производиться средствами Apache).
То есть аутентификацию должен производить скрипт, а потом уже сам браузер при обращениях к данному сайту, будет передавать переменные авторизации. Где-то я читал (источник -- webclub.ru, который закрыт сейчас на ремонт), что тот факт, что посетитель уже прошел авторизацию, записывается браузером в ... cookie. То есть вроде бы можно сделать так: скрипт авторизации получает логин и пароль, проверяет файл .httpasswd и если все хорошо, генерирует нужный кук. И дальше можно ходить по закрытым страницам, браузер автоматически будет генерировать переменные авторизации.
Так ли это? И где можно узнать больше об этом куке (его имя, время жизни и т.п.)?
Заранее спасибо за любую интересную идею!

StUV · 7 Май 2004

чем сессионная авторизация не устраивает ?

MpaK69 · 7 Май 2004

генерируй потом следующий урл http://user

assword@url

Tigr · 7 Май 2004

Куки хранят и передают сессионный id, и это используется при авторизации посредством сесиий, а при авторизации по средством Apache, клиент каждый раз обязан слать серверу заголовок Authorization с соответствующей инфой, а ни какой не кукис. И без окна на сколько я знаю не получится.

-~{}~ 07.05.04 17:49:

Автор оригинала: MpaK69
генерируй потом следующий урл http://user:password@url

Это весьма не безопасно, начиная с того что пользователь можен онную занести в "Избранное", и заканчивая багами браузеров. А если еще такие линки напрямую в страницу засунуть ...

Линк · 7 Май 2004

tigr, эти линки скоро отключат (Как говорит M$)

untied, сделай врапер
пусть

Код:

wraper.php?way=/path/to/file

отдает содержимое /path/to/file , обращаясь к нему через файловую систему, или через HTTP (если он на другом сайте) и передавая пароль

другой вопрос, нафига закрывать папки паролем, если все равно их надо всем показывать?
уж не воровство ли это контента?

))))

MpaK69 · 7 Май 2004

Tigr пусть заносит, он же пароль знает, а какой баг браузера поможет небезопасности?

Линк зачем отключат?

untied · 11 Май 2004

Код:
Originally posted by Линк
tigr, эти линки скоро отключат (Как говорит M$)

untied, сделай врапер
пусть

Код:

wraper.php?way=/path/to/file

отдает содержимое /path/to/file , обращаясь к нему через файловую систему, или через HTTP (если он на другом сайте) и передавая пароль

другой вопрос, нафига закрывать папки паролем, если все равно их надо всем показывать?
уж не воровство ли это контента?))))

Спасибо за совет!

И это не воровство контента. Просто клиент (англичанин) заказал себе финансовый сайт: без пароля можешь посмотреть только титульную страницу и порадоваться за дизайн. А хочешь инфу какую-нибудь более-менее серьезную получить -- регистрируйся давай. То есть практически все страницы оказываются запароленными (напрашивается запаролить одну папку средствами Apache и дальше не париться). Однако стандартная форма ввода пароля англику не нравится из эстетических соображений (я уже писал об этом), соответственно нужен либо враппер, либо все страницы придется делать на PHP. Любое из этих решений хреновое.

Фанат · 11 Май 2004

эти линки скоро отключат

не "скоро", а давным-давно патч вышел

-~{}~ 11.05.04 21:12:

Где-то я читал (источник -- webclub.ru, который закрыт сейчас на ремонт), что тот факт, что посетитель уже прошел авторизацию, записывается браузером в ... cookie.

ты читал, да ничего не понял
ЕСЛИ тот факт, что посетитель уже прошел авторизацию, записывается браузером в ... cookie ТО факт, что посетитель уже прошел авторизацию, записывается браузером в ... cookie

если же используется другой способ, но не в кукие.
.httpasswd к кукам не имеет никакого отношентя

И дальше можно ходить по закрытым страницам, браузер автоматически будет генерировать переменные авторизации.
Так ли это? И где можно узнать больше об этом куке (его имя, время жизни и т.п.)?
Заранее спасибо за любую интересную идею!

не так
никак и нигде

Однако стандартная форма ввода пароля англику не нравится из эстетических соображений

могу подсказать, куда он может засунуть свои соображения
это будет единственное место, где они будут иметь силу

соответственно нужен либо враппер, либо все страницы придется делать на PHP. Любое из этих решений хреновое

враппер нужен в любом случае
чтобы картинки показывать

Линк · 11 Май 2004

[тфу, фигню скаал

]

Фанат · 11 Май 2004

о господи

Пройти аутентификацию Apache без стандартного окна

untied

Сдвинутый новичок

StUV

Rotaredom

MpaK69

Новичок

Tigr

Новичок

Линк

Guest

MpaK69

Новичок

untied

Сдвинутый новичок

Фанат

oncle terrible

Линк

Guest

Фанат

oncle terrible