[PHP] Inloggen IIS webbased

dinsdag 1 juli 2003 23:51

Acties:

0 Henk 'm!

Topicstarter

Ik heb al heel wat lopen zoeken maar kan niet dit vinden.
Als je "Integrated Windows Authentication" in IIS aanzet krijg je een login scherm waar je je username en password moet invoeren.

Maar ik wil dit scherm dus niet maar via een website inloggen.

Dit ivm foto's.
Ik heb al een fotoboek en al die zooi beveiligd maar als iemand in de het fotoboek is en een foto opend kan ie de url van het plaatje bekijken en deze kan iedereen dan gewoon openen, want dit kan je volgens MIJ alleen op de server beveiligen.

Weet iemand dus inlog variablen hiervoor als dit mogelijk is? want heb niks goeds kunnen vinden.

Het gaat dus om PHP en IIS op een windows 2000 server.

dinsdag 1 juli 2003 23:53

Acties:

0 Henk 'm!

dingstje

Je zou eventueel de bestanden een random (bijna niet te raden naam) geven en die dan laten uitlezen door PHP, zodat de gebruiker de echte URL niet te zien krijgt. In die PHP-file controleer je dan of de gebruiker ingelogd is. Je zou ook de plaatjes rechtstreeks in je database kunnen steken (in een BLOB field)

If you can't beat them, try harder

dinsdag 1 juli 2003 23:55

Acties:

0 Henk 'm!

Emmeau

All your UNIX are belong to us

zet een sessie variable op de login page, en controleer deze aan het begin van iedere andere pagina.

als sessievar niet gezet is, dan ga je door naar het login scherm

If you choose to criticise you choose your enemies

dinsdag 1 juli 2003 23:57

Acties:

0 Henk 'm!

martijnr17

Topicstarter

Als je een plaatje ziet kan je toch ook altijd de url tevoorschijn toveren? of heb ik dat verkeerd? Die 2e optie zou mogelijk zijn is het niet zo dat het al mijn digitale foto's zijn en dan heb ik zon enorme database. 1mb per foto dat 700x en dat worden er steeds meer en dan de thumbs nog

Emmeau --> dit heb ik nu maar dan zie je de url van de jpg nog wel en dan link je gewoon direct aan de jpg en die kan je gewoon laden dan.

[ Voor 21% gewijzigd door martijnr17 op 01-07-2003 23:58 . Reden: Reactie op Emmeau ]

dinsdag 1 juli 2003 23:59

Acties:

0 Henk 'm!

gorgi_19

Kruimeltjes zijn weer op :9

RippyNL schreef op 01 juli 2003 @ 23:57:
Als je een plaatje ziet kan je toch ook altijd de url tevoorschijn toveren? of heb ik dat verkeerd? Die 2e optie zou mogelijk zijn is het niet zo dat het al mijn digitale foto's zijn en dan heb ik zon enorme database. 1mb per foto dat 700x en dat worden er steeds meer en dan de thumbs nog

Ik neem aan dat je alleen de links op slaat in de database en niet de hele foto?

Digitaal onderwijsmateriaal, leermateriaal voor hbo

woensdag 2 juli 2003 00:03

Acties:

0 Henk 'm!

martijnr17

Topicstarter

gorgi_19 schreef op 01 juli 2003 @ 23:59:
[...]

Ik neem aan dat je alleen de links op slaat in de database en niet de hele foto?

Op het moment sla ik inderdaad alleen de links op. Maar dan kan je dus weer de url zien naar het plaatje en dan kan je dus zonder in te loggen als je de url weet het plaatje openen.

En volgens mij kan je dat alleen voorkomen door Integrated Windows Authentication aan te zetten en in te loggen. Maar dan wil ik dus GEEN popup scherm maar inloggen met php.

woensdag 2 juli 2003 00:04

Acties:

0 Henk 'm!

gorgi_19

Kruimeltjes zijn weer op :9

RippyNL schreef op 02 July 2003 @ 00:03:
[...]

Op het moment sla ik inderdaad alleen de links op. Maar dan kan je dus weer de url zien naar het plaatje en dan kan je dus zonder in te loggen als je de url weet het plaatje openen.

En volgens mij kan je dat alleen voorkomen door Integrated Windows Authentication aan te zetten en in te loggen. Maar dan wil ik dus GEEN popup scherm maar inloggen met php.

Dan sla je de plaatjes op buiten de webroot, zodat ze niet zichtbaar zijn... Nu de hamvraag: Hoe maak je ze zichtbaar? Door middel van een PHP script, welke de plaatjes op haalt envan de juiste header voorziet en weergeeft.
In dit script kan je vervolgens de rechten controleren.

Digitaal onderwijsmateriaal, leermateriaal voor hbo

woensdag 2 juli 2003 00:07

Acties:

0 Henk 'm!

ANdrode

RippyNL schreef op 01 July 2003 @ 23:51:
Ik heb al heel wat lopen zoeken maar kan niet dit vinden.
Als je "Integrated Windows Authentication" in IIS aanzet krijg je een login scherm waar je je username en password moet invoeren.

Maar ik wil dit scherm dus niet maar via een website inloggen.

Je kan gewoon een <input type="password" name="login_pass" /> gebruiken. Deze komt dan in de var $_GET["login_pass"] of $_POST["login_pass"] te staan afhankelijk van je methode van form versturen.

Dit ivm foto's.
Ik heb al een fotoboek en al die zooi beveiligd maar als iemand in de het fotoboek is en een foto opend kan ie de url van het plaatje bekijken en deze kan iedereen dan gewoon openen, want dit kan je volgens MIJ alleen op de server beveiligen.

Hier kan je een wrapper script voor maken. De plaatjes gooi je dan in een directory die je met .htaccess beveiligt, zodat men er niet vana finet op kan.

een wrapper script (uit mijn hoofd & snel). Het is pseudo-code

code:

//Hier de code die de login controleert.
if($loginsysteem->accessallowed == TRUE){
//hier iets met readfile ( string filename [, bool use_include_path]) en file_get_type oid.
} else {
header("HTTP/1.0 404 Not Found"); // let op, het kan zijn dat het zo moet als bij die voorbeeld-401.
exit(); //Zo, nu krijgt hij een 404 te zien.
}

Weet iemand dus inlog variablen hiervoor als dit mogelijk is? want heb niks goeds kunnen vinden.

Het gaat dus om PHP en IIS op een windows 2000 server.

Dit heb ik hierboven al uitgelegt. Dit kan dus of met een formpje & variabelen die je checked tegen een db, of met header('Status: 401.5 Unauthorized'); (dit schijnt voor IIS zo te moeten.., bij apache de andere manier.)
Kan bij apache trouwens alleen met php als module, bij iis heb ik geen idee (en dat vind ik niet erg

)

woensdag 2 juli 2003 00:14

Acties:

0 Henk 'm!

jochemd

RippyNL schreef op 01 juli 2003 @ 23:51:
Ik heb al heel wat lopen zoeken maar kan niet dit vinden.
Als je "Integrated Windows Authentication" in IIS aanzet krijg je een login scherm waar je je username en password moet invoeren.

Maar ik wil dit scherm dus niet maar via een website inloggen.

Als je Windows Authentication gebruikt kan je niet via een HTML formulier inloggen. Zie RFC 2617 voor het mechanisme van "Integrated Windows Authentication" (challenge en hash zijn anders, concept is gelijk).

woensdag 2 juli 2003 00:17

Acties:

0 Henk 'm!

martijnr17

Topicstarter

Allen alvast bedankt ik ga ff onderzoeken met de laatste paar antwoorden ben ik wel ff zoet. Werkt het niet dan zien jullie het vanzelf wel weer

Jochem heb je trouwens niet zo een voorbeeld? ik kan niet zo 123 iets vinden. zal nog verder zoeken maar als jij zo iets hebt graag.

[ Voor 32% gewijzigd door martijnr17 op 02-07-2003 00:25 . Reden: extra ]

woensdag 2 juli 2003 10:47

Acties:

0 Henk 'm!

jochemd

Ik heb weleens mijn eigen implementatie van Digest Authentication geschreven maar ik zeg juist dat het niet kan dus heb ik natuurlijk ook geen code voor je

woensdag 2 juli 2003 10:50

Acties:

0 Henk 'm!

SchizoDuckie

Kwaak

jochemd schreef op 02 July 2003 @ 10:47:
Ik heb weleens mijn eigen implementatie van Digest Authentication geschreven maar ik zeg juist dat het niet kan dus heb ik natuurlijk ook geen code voor je

is het écht níet mogelijk???

ik wil dit namelijk binneknort ook gaan gebruiken voor het intranet dat ik aan't bouwen ben. Ik wil de loggedin user&pass gebruiken...

Is het ook niet mogelijk met vbscript || asp

Stop uploading passwords to Github!

woensdag 2 juli 2003 11:24

Acties:

0 Henk 'm!

jochemd

Lees die RFC eerst maar.

woensdag 2 juli 2003 19:21

Acties:

0 Henk 'm!

martijnr17

Topicstarter

jochemd schreef op 02 July 2003 @ 10:47:
Ik heb weleens mijn eigen implementatie van Digest Authentication geschreven maar ik zeg juist dat het niet kan dus heb ik natuurlijk ook geen code voor je

Sorry had je antwoord niet goed gelezen

Ik heb het nu anders opgelost.
Ik heb Apache geinstalleerd en die checkt of je wel echt van de site komt en dan log ik gewoon in met mysql.
Dit werkt voor mij ook voldoende

Onderwerpen