# Zugriff auf Seite sperren?



## TheManWho (13. Februar 2004)

Sehr geehrte Damen und Herren  
Folgendes Szenario:
Übers Internet soll auf eine Datenbank zugegriffen werden. Dieser Zugriff läuft auch schon tipp-topp (mit Hilfe von ASP). Natürlich soll nicht jeder auf die Daten zugreifen können, deshalb gibts eine kleine Passwortabfrage (ganz simpel mit einem User - guckst Du hier ).
Diese leitet dann mit einem "Response.Redirect" zu der eigentlichen Seite weiter
Damit ist das Problem aber noch nicht gelöst, da ich ja weiterhin DIREKT die ASP-Seite mit dem DB-Zugriff aufrufen kann. Ich hab mir jetzt 2 Lösungen überlegt, aber leider scheitert es mangels Erfahrung/Können(?) an der Umsetzung
a) Die Passwortabfrage wird in die DB-Zugriffsseite integriert, muss dann natürlich bei jedem Start ausgeführt werden. Ich hab da mal was über eine SUB START () gelesen, die automatisch beim Starten der Seite ausgeführt wird... Problem bei der Lösung: Was geschieht bei einem Refresh?! Muss dann wieder das Passwort eingegeben werden? Das wäre ja sehr lästig..
b) Die DB-Zugriffsseite wird über den Webserver (IIS unter W2K-Server) gesperrt. Da hab ich auch schonmal eingestellt, dass man bei dem Aufruf der Seite auf die Passwortabfrage umgeleitet wird, aber dadurch gibts nur ne Endlosschleife, weil man ja auch nach der erfolgreichen Passworteingabe nicht auf die Seite kommt. 
So, jetzt seid Ihr dran ;-) hat jemand eine Idee?


----------



## Andreas Dunstheimer (13. Februar 2004)

Hi,

wie wäre eine Passwortabfrage über *.htaccess* ? Dabei merkt sich der Browser, daß man schon eingeloggt ist. Man muss das Passwort nur dann neu eingeben, wenn man den Browser schliesst und neu öffnet. 
Natürlich muss der Webserver entsprechend konfiguriert sein.


Dunsti


----------



## TheManWho (13. Februar 2004)

... ich dachte das geht nur beim apache?
außerdem bleibt ja das Problem, dass man noch direkt auf die Seite zugreifen kann (also die Passwortabfrage einfach umgehen kann)


----------



## gissmo (13. Februar 2004)

Die .htaccess kann man nicht umgehen auch nicht mit dem Direktaufruf.

Aber wie du schon bemwerkt hast geht das nur bei Apache.
Ich denk das es bei ASP auch IF-Anweisung gibt.
wie wärs damit:
if (){
-login
} else{
-Daten
}

du musst da natürlich die Logdaten immer mit weiter reichen per
-Link
-Session oder
-Cookies

Narürlich muss man sich bei einem refrech nicht neu einloggen. Der Browser merkt sich das.


----------



## DeathLink (20. Februar 2004)

*Ergänzende Frage*

Kann man in .htaccess auch eine externe Liste in der die erlaubten IPs stehen einlesen und wenn ja, wie? Ich weiß, dass man beispielsweise mit *AuthUserFile c:/verzeichnis/pass.pwd* auch extern eine Liste für die Passwörter einlesen kann.

Danke, DeathLink.


----------

