Hallo!
Folgende Problematik möchte ich umsetzen:
Auf meinem Server, der ganz öffentlich im Internet erreichbar ist, nennen wir ihn also domain.de :), sind verschiedene Projekte in Verzeichnissen untergebracht.
Mit http://domain.de/ komme ich also auf die Startseite. Sämtliche Projekte sind in Verzeichnissen darunter angeordnet, z.B.: http://domain.de/PROJEKT_ABC/
Momentan ist der Schutz so, dass es einfach durch "Security through Obscurity" läuft. Da der Server dicht ist und nur auf perfekte Groß- / Kleinschreibung reagiert, kommt man auf ein Projekt nur, wenn man es so eingibt wie es halt geschrieben wird.
Leider will ich mich nicht darauf verlassen. Ich möchte unter http://domain.de/ bzw. per https ein Loginskript auf PHP-Basis laufen lassen, damit sich Mitbenutzer erstmal authentifizieren müssen. Nun kann ich dem User ja eine Session oder einfach nur ein Cookie unterjubeln und er ist für seine Browsersitzung hinlänglich bekannt.
Nur wie bring ich jetzt dem Apachen bei, dass er die Projekte nur ausliefert, wenn einer angemeldet ist? Sprich, wenn der Browser immer ein Cookie mit entsprechenden Infos mitliefert?
Das Problem ist, das die Projekte komplett autark bleiben sollen, also wenn sie selber ne Session verwenden ist gut, wenn sie selber Cookies schreiben ist gut. Es soll egal sein, ob pures HTML oder PHP oder was auch immer.
Also kurz:
1. User geht auf http://domain.de/PROJEKT_ABC/ -> bekommt Zugriffsfehler 401
2. User geht auf https://domain.de/ und loggt sich ein
3. User geht auf http://domain.de/PROJEKT_ABC/ -> Zugriff
4. User macht seinen Browser zu und das Spiel geht von vorne los.
Hoffe, es ist einigermassen verständlich.
Danke schonmal!
Andy