SELFPHP

SELFPHP-Druckversion
Original Adresse dieser Seite:
http://www.selfphp.de/praxisbuch/praxisbuchseite.php?site=297&group=52
© 2001-2017 E-Mail SELFPHP OHG, info@selfphp.de
© 2005-2017 E-Mail PHP5 Praxisbuch - Matthias Kannengiesser, m.kannengiesser@selfphp.de


Session-basierte Authentifizierung


Eine weitere Möglichkeit der Authentifizierung besteht darin, die Zugangsdaten eines Anwenders auszuwerten und in einer Session zu registrieren. Sie sollten bei der Übertragung mithilfe eines HTML-Formulars berücksichtigen, dass das Passwort im Klartext übertragen wird und daher die POST-Methode eingesetzt werden sollte. Sie könnten zusätzlich clientseitig das Passwort mithilfe von JavaScript verschlüsseln. Dies setzt jedoch voraus, dass beim Anwender die Ausführung von JavaScript zugelassen ist.

Um das folgende Beispiel so flexibel wie möglich zu gestalten, sollten Sie dafür sorgen, dass die Benutzeridentifizierung in eine externe Datei ausgelagert wird. Ich habe hierfür die Datei check.php angelegt. In dieser befindet sich folgende Funktion:

<?php

// Nutzeridenifikations-Funktion
function check_nutzer($pwddatei=".htpasswd") {
  session_start();

  if (isset($_SESSION["versuch"]) && $_SESSION["versuch"]>2) {
    return false;
  }

  if (!isset($_SESSION["auth"]) && !isset($_POST["username"])) {
    return false;
  }

  if (isset($_POST["username"])) {
    if (!isset($_SESSION["versuch"])) {
      $_SESSION["versuch"]=1;
    } else {
      $_SESSION["versuch"]++;
    }

    if (!isset($_COOKIE[session_name()])) {
      return false;
    }

    $nutzer = trim($_POST["username"]);
    $pwd = trim($_POST["passwort"]);

    if (strlen($nutzer)<3) {
      return false;
    }

    $pwd=$nutzer.":".crypt($pwd,$nutzer[2].$nutzer[1])."\n";
    $pwd_liste=file($pwddatei);

    if (array_search($pwd,$pwd_liste)!== false) {
      $_SESSION["auth"]=$nutzer;
      return true;
    } else {
      return false;
    }
  }

  if (isset($_GET["logout"])) {
    session_destroy();
    session_unset();
    unset($_SESSION);
    return false;
  } else {
    return true;
  }
}

?>

Die Datei, welche die Eingabemaske samt Funktionsaufruf enthält, wird als login.php angelegt:{PSP}
<?php

include("check.php");
if (!check_nutzer()) {

?>

<html>
<head>
<title>Eingang</title>
</head>
<body>
<h1>Login</h1>
<form method="post" action="<?php echo $PHP_SELF ?>">
  <p>Benutzer:
    <input type="text" name="username">
  </p>
  <p>Passwort:
    <input type="password" name="passwort">
  </p>
  <p>
    <input type="submit" name="Submit" value="Login">
  </p>
</form>

<?php

if (isset($_SESSION["versuch"]) && $_SESSION["versuch"] < 3) {
  echo "Login nicht erfolgreich!
  Es stehen Ihnen noch ".
  (3-$_SESSION["versuch"]) .
  " Versuche zur Verfügung!";
} else if ($_SESSION["versuch"] == 3) {
  echo "Es stehen Ihnen keine
  weiteren Versuche zur Verfügung!";
}

?>

</body>
</html>

<?php

} else {

?>

<html>
<head>
<title>Private Zone</title>
</head>
<body>
<h1>Herzlich Willokmmen</h1>
<a href="<?php echo $PHP_SELF ?>?logout=1">Logout</a>
</body>
</html>

<?php

}

?>



Bild 8.3: Loginformular (Eingabemaske) und Privatbereich

Wie Sie anhand des ersten Arguments $pwddatei der Funktion erkennen können, verwende ich in diesem Fall die mithilfe der setze_passwort()-Funktion erzeugte Passwortdatei, um die Authentifizierung durchzuführen. Es steht Ihnen natürlich frei, der Passwortdatei einen beliebigen Namen zuzuweisen. Achten Sie lediglich darauf, dass sich jeder Benutzereintrag aus einem Benutzernamen und einem verschlüsselten Passwort zusammensetzt. Die Funktion selbst sorgt dafür, dass die benötigte Session initialisiert wird, und prüft, ob ein Anwender angemeldet ist oder nicht. Gegebenenfalls wird der Anwender identifiziert bzw. abgemeldet.{PSP}Ist ein Anwender angemeldet oder war seine Anmeldung erfolgreich, gibt die Funktion true zurück, andernfalls false. Mithilfe der Rückgabewerte können Sie somit entscheiden, was bei einem erfolgreichen bzw. nicht erfolgreichen Login geschehen soll. Die Funktion ist zusätzlich in der Lage zu erkennen, wie oft versucht wurde, sich einzuloggen. Dem Anwender stehen drei Versuche zur Verfügung. Nach drei Versuchen, welche in der Sessionvariablen $_SESSION["versuch"] gespeichert sind, wird die Funktion grundsätzlich den Rückgabewert false liefern. Dies gilt auch in dem Fall, wenn weder die Sessionvariable $_SESSION["auth"] noch die Postvariable $_POST["username"] existieren. In diesem Fall wird davon ausgegangen, dass der Anwender noch keinen Loginversuch unternommen hat.

Sobald der Anwender das Loginformular abgeschickt hat, beginnt der Authentifizierungsprozess. Die Sessionvariable $_SESSION["versuch"] wird in der Session registriert bzw. um den Wert 1 erhöht. Anschließend wird überprüft, ob die Session durch ein Cookie übergeben wurde. Sollte dieses nicht existieren, wird die Funktion abgebrochen und false zurückgegeben. Der Benutzernamen und das Passwort werden in den Variablen $nutzer und $pwd gespeichert. Dabei werden mithilfe der Funktion trim() eventuell vorhandene Leerzeichen vor und nach dem Benutzernamen und Passwort entfernt.

Eine weitere Bedingung ist, dass der Benutzername nicht kürzer als drei Zeichen sein darf. Damit ein identischer Eintrag in der Passwortdatei gefunden werden kann, wird ein String gebildet, welcher genauso aufgebaut ist wie eine Zeile in der Passwortdatei. Anschließend wird der Inhalt dieser Datei mithilfe der Funktion file() in das Array $pwd_liste eingelesen. Dieses Array wird mithilfe der Funktion array_search() durchsucht. Ist der Rückgabewert der Suche ungleich false, so bedeutet dies, der Anwender ist in der Passwortdatei enthalten und hat sich mit dem richtigen Passwort angemeldet. Die Sessionvariable $_SESSION["auth"] wird angelegt und in ihr der Benutzername gespeichert. Die Funktion liefert dann noch den Wert true zurück. Sollte der Anwender bereits angemeldet sein, wird geprüft, ob in der URL der Parameter logout enthalten ist. Ist dies der Fall, wird die Session beendet und die Funktion gibt false zurück, andernfalls true.


Session-Variante

Ich stelle noch eine weitere Variante vor, sodass Sie selbst entscheiden können, welche von beiden Lösungen Ihnen zusagt. Bei der folgenden Variante handelt es sich um eine Umsetzung, die ohne eine externe Passwortdatei auskommt.

Sie basiert auf insgesamt drei Dateien:


Beispiel – login.php

<?

session_start();

function check_auth($nutzer,$pwd) {
  $nutzer_liste = array ("matthias" => "mad", "caroline" => "car");
  if (isset($nutzer_liste[$nutzer]) && ($nutzer_liste[$nutzer] == $pwd)) {
    return true;
  } else {
    return false;
  }
}

$geheim_wort = 'geheim';

unset($_POST["$username"]);

if ($_SESSION['login']) {
  list($s_username, $session_hash) = explode(',',$_SESSION['login']);
  if (md5($s_username.$geheim_wort) == $session_hash) {
    $_POST["$username"] = $s_username;
  } else {
    echo "Sie haben an ihrer Session rumgesaut!";
  }
}

if ($_POST["$username"]) {
  header('Location: gruss.php');
} else {
if (check_auth($_POST['username'], $_POST['passwort'])) {
  session_start();
  $_SESSION['login'] = $_POST['username'].','.md5($_POST['username'].$geheim_wort);
  echo "Sie sind eingeloggt!";
  echo "<p><a href='gruss.php'>Weiter</a>";
} else {
echo <<<Login
<form method="post" action="login.php">
Benutzername:<br>
Benutzer:
<input type="password" name="username"><br>
Passwort:
<input type="text" name="passwort"><br>
<input type="submit" value="Login">
</form>
Login;
}
}

?>
{PSP}Beispiel – gruss.php

<?

session_start();

$geheim_wort = 'geheim';

unset($_POST["$username"]);

if ($_SESSION['login']) {
  list($s_username, $session_hash) = explode(',',$_SESSION['login']);
  if (md5($s_username.$geheim_wort) == $session_hash) {
    $_POST["$username"] = $s_username;
  } else {
    echo "Sie besitzen keine gültige Session!";
  }
}

if ($_POST["$username"]) {
  echo "Guten Tag " . $_POST["$username"];
  echo "<a href='logout.php'>Ausloggen</a>";
} else {
  echo "Guten Tag, anonymer Besucher!";
}

?>

Beispiel – logout.php

<?

session_start();

$geheim_wort = 'geheim';

unset($_POST["$username"]);

if ($_SESSION['login']) {
  list($s_username, $session_hash) = explode(',',$_SESSION['login']);
  if (md5($s_username.$geheim_wort) == $session_hash) {
    $_POST["$username"] = $s_username;
  } else {
    echo "Sie besitzen keine gültige Session!";
  }
}

if ($_POST["$username"]) {
  unset($_SESSION['login'],$login);
  echo "Bis bald ". $_POST["$username"];
  echo "<br><a href='login.php'>Login</a>";
} else {
  echo "Fehler beim Ausloggen!";
}

?>