[linux] Re: Logout in http?

Hugo van der Kooij hvdkooij op vanderkooij.org
Wo Dec 28 21:47:35 CET 2005


On Wed, 28 Dec 2005, Paul Slootman wrote:

> On Wed 28 Dec 2005, Jan Gnodde wrote:
> > Op dinsdag 27 december 2005 23:14, schreef Hugo van der Kooij:
> >
> > > Hoewel de apache docs er op wijzen dat een logout met basic of digest
> > > authentication heeft iemand wellicht een truukje bedacht hierop.
> > >
> > > Ik dacht aan iets simpels als de gebruiker met een andere (verkeerde)
> > > account op te zadelen in zijn browser zodat het spel weer van voor af aan
> > > begint. Maar wellicht is er een charmantere manier.
> >
> > Ik weet niet of PHP dezelfde authentication-mechanismes gebruikt, maar als dat
> > het geval is kun je $PHP_AUTH_USER en/of $PHP_AUTH_PW resetten...?
>
> Het probleem met http auth is dat de browser "weet" dat ie voor die site
> steeds de auth info mee moet sturen; alleen de 1e keer doet zal ie aan
> de gebruiker de username + password opvragen. Je moet dus de browser
> overtuigen om die info niet meer mee te sturen.
>
> Als je alleen binnen PHP die vars reset, dan stuurt de browser die info
> nog steeds telkens mee; alleen doe jij binnen je script er niks meer
> mee. Vergeet niet dat bij elke klik je in principe een nieuwe verbinding
> start, en dus ook steeds opnieuw de PHP script start.
>
> Er is dus geen goeie methode voor het "uitloggen", want je logt
> feitelijk telkens opnieuw in wanneer je een pagina opvraagt...
> Dit zou dus aan de kant van de browser opgelost moeten worden.

Waar ik aan dacht is 1 dummy pagina die een standaard nobody user vereist
i.p.v. de normale user meer wel onder dezelfde realm. Als de link naar die
pagina er uit ziet als  http://nobody:wachtmaar@webserver/logout dan zal
dat automatisch de user account veranderen.

Men is dus niet meer als zichzelf ingelogd op deze manier en bij een
andere pagina zou de browser weer de gebruiker moeten vragen om de juiste
info.

Overigens is het wellicht het meest voor mijn eigen gemak omdat ik niets
steeds firefox wil dichtgooien om even een andere account te controleren.

Ik ga eens spelen met dit idee.

Hugo.

-- 
	I hate duplicates. Just reply to the relevant mailinglist.
	hvdkooij op vanderkooij.org		http://hvdkooij.xs4all.nl/
		Don't meddle in the affairs of magicians,
		for they are subtle and quick to anger.



More information about the Linux mailing list