Hallo zusammen

Ich habe folgendes Situation:
- Verzeichnis, welches durch .htaccess Benutzer und Passwort erfordert
- PHP Funktion, welche unter bestimmten Umständen eine Weiterleitung an eine Datei innerhalb des geschützten Verzeichnisses realisieren soll

Probleme:
- Der Benutzer wird wird zur Authentifizierung aufgefordert, wenn jedoch der 'bestimmte Umstand' erfüllt ist, sollte der Benutzer damit nicht gnervt werden
- Eine Lösung durch Öffnen der Datei und direktes Ausgeben scheiden aus, weil die Dateitypen dem Script unbekannt sind (und sich ändern: mal zip-, mal pdf- mal irgendwas-dateien) und deshalb kein passender content-type header gesendet werden kann (der Benutzer würde somit eine Excel-Datei fälschlicherweise unter xyz.php speichern ...), ausserdem Frage ich mich, ob das für binäre Dateien überhaupt geignet wäre

Irgendwie suche ich nach so was ähnlichem:
header( 'Location: user:password@http://www.xyz.ch/protectedfiles/myfile.xls' );.. nur gibt's das in dieser Form nicht, oder ich find's einfach nicht

Hat hier irgendwer eine schlaue Idee?
Danke und Gruss
Patrick

Hallo Patrick,

>> wenn jedoch der 'bestimmte Umstand' erfüllt ist,
>> sollte der Benutzer damit nicht gnervt werden

Dann ermittle doch erst den "bestimmten Umstand" und leite dann auf eine ungeschützte URL außerhalb des geschützten Verzeichnisses, wenn der "bestimmte Umstand" erfüllt ist.

>> user:password@http://www.xyz.ch/protectedfiles/myfile.xls

Diese URL funktioniert nicht in allen Browsern und wäre viel zu unsicher.
Das Passwort wäre so im Klartext lesbar im Referer und in den Logdateien.

Gruß Sabine

Hallo Sabine

Danke für deine Antwort. Die Frage bleibt jedoch: wie leite ich zur URL im geschützten Verzeichnis ohne dass sich die .htaccess-Abfrage einschaltet?

.. wie du bereits gesagt hast ist die Lösung mit einem Link auf 'user:password@http://www.xyz.ch/protectedfiles/myfile.xls' nicht für alle Browser geeignet und wegen des Klartextpasswortes auch nicht zu empfehlen.

Eine andere Idee?

Ohne Browserdialogfeld,
der Benutzername und Passwort abfragt
kommt man nicht in ein geschütztes Verzeichnis.

Gruß Sabine

Hallo Sabine

.. ganz sicher?

Ist es wirklich nicht möglich über PHP eine die HTTP-Auth. durchzuführen??

Gruss
Patrick

Hallo Patrick,

auch bei HTTP-Authentifizierung mit PHP muß der Benutzer
seinen Benutzername und sein Passwort eingeben:

http://php.net/...atures.http-auth.php

Beschreibe doch mal genauer was Du machen möchtest,
vielleicht gibt es eine andere Lösung.

Gruß Sabine

Hallo Sabine

Den WWW-Authenticate Header kenne ich, der hat aber nicht direkt mit meinem Problem zu tun.

Das Kapitel HTTP-Authentifizierung mit PHP kenne ich, das hat aber nicht direkt mit meinem Problem zu tun. Es behandelt nur das erzwingen einer HTTP-Authentifizierung - ich dagegen suche nach einem HTTP-Anmeldeverfahren durch PHP.

Warum das ganze:

Grundsätzlich habe ich ein Verzeichnis mit Dateien, welche nur einigen Personen zugänglich sind. Die Zugangs- und Autorisationskontrolle ist aber bereits mit PHP gelöst (persönliche Benutzeraccounts mit Rechten). Nun sollten die Benutzer die Dateien per HTTP-Download runterladen können. Damit das funktioniert muss sich das ganze ja in einem public directory befinden. Und damit generell mal niemand Zugriff hat habe ich das Verzeichnis mit .htaccess passwortgeschützt.

Die Dateien können sich ständig ändern (werden gelöscht und andere hinzugefügt). Das kann von Zip-Dateien bis über jeden erdenklichen Mime-Typ gehen.

Vielleicht muss ich die Mime-Typen begrenzen und dann mit PHP einfach die korrespondierenden MimeType Header und den Inhalt der Dateien mit echo ausgeben. Leider würde das aber die Möglichkeiten sehr einschränken: Das ganze würde nur mit den von mir abgehandelten Mime-Typen funktionieren und das möchte ich verhindert, drum bin ich auf der Suche nach einer anderen Möglichkeit - z.B. mit .htaccess.

Gruss
Patrick