Moin!

Aber damit kann man glaueb ich leider nicht Benutzer entfernen, oder? Nur mal so nebenbei da ich demnächst auch eine Anwendung mit http-auth schützen wollte, und da will ich eine einfach Möglichkeit haben user per Knopfdruck hier und jetzt auszusperren, so dass halt keien neuer Request mehr möglich ist. Aber dazu muss ich eh die Datei parsen und "manuell" beschreiben, oder?

htpasswd meint über sich:
Usage:
        htpasswd [-cmdps] passwordfile username
        htpasswd -b[cmdps] passwordfile username password

htpasswd -n[mdps] username
        htpasswd -nb[mdps] username password
 -c  Create a new file.
 -n  Don't update file; display results on stdout.
 -m  Force MD5 encryption of the password.
 -d  Force CRYPT encryption of the password (default).
 -p  Do not encrypt the password (plaintext).
 -s  Force SHA encryption of the password.
 -b  Use the password from the command line rather than prompting for it.
On Windows, TPF and NetWare systems the '-m' flag is used by default.
On all other systems, the '-p' flag will probably not work.

Interessant: md5 ist Default-Codierung auf Windows-Systemen.

Was dein Problem angeht: Was spricht dagegen, dem rauszuwerfenden Benutzer einfach ein neues Passwort zu geben, was er nicht kennt. Das läuft erstmal auf dasselbe Ergebnis hinaus: Er kann nicht rein.

Diese Methode könnte dann unzufriedenstellend sein, wenn du weitere Mechanismen anbietest wie z.B. "Mail mir mein vergessenes Passwort (bzw. generiere ein neues)".

Allerdings: Solche Mechanismen gibts häufiger bei Sites mit einer großen Userbasis. Bei solchen Sites sollte die Authentifizierung aber nicht mehr per simpler Passwort-Datei ablaufen, sondern (wie z.B. hier im Selfforum) datenbankgestützt. Und dann hast du natürlich alle Möglichkeiten, zusätzlich zu den für Apache notwendigen Spalten "username" und "password" weitere Verwaltungsinformationen hinzuzufügen, die z.B. das Neugenerieren von Passwörtern verhindern. Und das Löschen von Usern ist dann auch ganz leicht. :)

- Sven Rautenberg