Moin!

Bei einigen Webseiten ist es üblich, daß man sich anmelden muß. Hauptsächlich kommt es in Foren, wie hier, vor. Man meldet sich mit einer emailadresse an, bekommt eine Bestätigungsmail, oder auch nicht, und erst dann kann man die Webseite mit seiner angegebenen mail-Adresse aufrufen.

Naja. Du meinst:

Man gibt mindestens Benutzername (kann Mailadresse sein), Mailadresse und Passwort ein. Danach erhält man ein Email mit einem Link bzw. einer URL für die Erstanmeldung.

Wie man Formulare erstellt ist ja hier beschrieben und möchte ich als nächstes durchgehen. Allerdings würde mich interessieren wie der Ablauf ist:

Wo wird die Anmeldeadresse gespeichert?

• Alle diese Daten werden auf dem Webserver oder einem weiteren Datenbankserver gespeichert.

Wie erfolgt die Weiterleitung und Bestätigung?

• Durch Programme auf dem Server.

Wie wird das organisiert, daß man sich mit einer mail einloggen muß?

• Das geht, grob umrissen, so: Die eingegebenen Daten werden in einer Datenbank gespeichert. Das Passwort hoffentlich "Einweg-verschlüsselt". Der Server ermittelt aus Zufallswerten ein "Geheimnis", welches Bestandteil des Links ist, der dann in das Mail verpackt und gesendet wird.

• Der Empfänger ruft die URL auf und übermittelt das Geheimnis und auf dem Server nimmt der kleine Bürokrat im Server (das ist ein Programm) wegen der Übereinstimmung der Geheimnisse an, dass die Mailadresse stimmt.

• Jetzt wird Dir entweder das Angebot gemacht Dich mit Benutzername und Passwort anzumelden und bei Erfolg dieser Aktion wird erst dann in der Tabelle statt des "falsch" noch ein "wahr" bei "Emailadresse verifiziert" eingetragen (was richtig ist) oder der kleine Bürokrat im Server ist auch ohne Passwort so gutgläubig anzunehmen, dass das alles so stimmt und loggt den Übermittler der korrekten URL einfach mal ein (was im Hinblick auf mögliche legale, illegale, letale oder subletale Mitleser ziemlich naseweis ist) und setzt also ebenfalls die Verifizierung auf "erfolgt".

Ach ja hin und wieder kommt zeitgesteuert ein Bot (das ist auch ein kleines Programm) vorbei und sucht alle seit x Tagen nicht bestätigten Anmeldungen heraus und löscht diese. Die anderen erhalten "neueste Informationen" des Betreibers per Email. Dazu braucht es (juristisch, nicht technisch) übrigens eine explizite Zustimmung des sich anmeldenden.

Du hast bisher HTML gemacht? Nun ja. Das hier füllt Bücher und selbst Profis machen da ziemlichen Humbug. Das ist nichts für Beginner.

Jörg Reinholz

P.S. (Für die Mitleser)

Die Login-Geschichte erweitere ich gerade um eine eigene Implementierung von etwas, was (auf das Login beschränkt) eine Funktionalität wie Fail2Ban liefert.