Ordner mit htaccess schützen?
Eingetragen von rapsli (1500)am 09.01.2009 - 18:33 Uhr in
Ich versuche für Fast Gallery endlich mal eine granulare Access Permission zu machen. Ich habe da eigentlich folgendes gedeacht:
In einer Tabelle wird der Ordner gespeichert und dann welche Rolle Zugriff hat. Wenn dann auf eine Datei zugegriffen wird, wird geschaut, ob der Benutzer die Rolle hat, um den Zugriff zu gewähren. Das sollte wohl auch funktionieren, ABER:
Da der Folder im Public ist, hat eigentlich jeder Zugriff, wenn er den genauen Filenamen weiss. Mein Ansatz wäre jetzt eigentlich irgendwie eine htaccess so tunen, dass man ein Token oder so braucht, um auf eine Datei Zuzugreifen, oder das kein direkten Zugriff möglich ist oder irgend etwas.
Gibt es da denn eine Möglichkeit?
Raphael
- Anmelden oder Registrieren um Kommentare zu schreiben
Module für File Management
am 09.01.2009 - 19:23 Uhr
Hallo Raphael,
da müsste eigentlich bei den zahlreichen Modulen für das Dateimanagement was Passendes dabei sein:
http://drupalmodules.com/search/node/file+management+category%3A24
Gruß
Frank
PS:
Und die Dateizugriffmethode grundsätzlich auf "Privat" zu stellen, kann wahrscheinlich auch nicht schaden.
so einfach ist es leider
am 10.01.2009 - 09:19 Uhr
so einfach ist es leider nicht. Wie gesagt, es geht darum, das bestehende Modul zu erweitern. Ich bräuchte jemand, der sich gut mit htaccess und co auskennt.
Ist es via htaccess möglich, den Zugriff auf eine Datei zu sperren bzw. freizugeben?
sprich der User gibt die url direkt im browser ein -> wird gesperrt.
der user geht durch einen drupal funktion, die datei wird angezeigt.
______________________________
Yet Another Drupal Site (YADS)
http://www.rapsli.ch
******************************
private Downloadmethode
am 10.01.2009 - 11:36 Uhr
Hm,
sprich der User gibt die url direkt im browser ein -> wird gesperrt.
der user geht durch einen drupal funktion, die datei wird angezeigt.
IMHO ist das genau die Grundfunktion, welche die "private" Downloadmethode von Drupal vorsieht:
Falls der Zugriff auf herunterladbare Dateien kontrolliert werden soll, muss die Download-Methode auf privat gesetzt werden.
Oder guck mal hier: http://www.drupalcenter.de/node/8444
Gruß
Frank
jo. ABER. private ist nur
am 10.01.2009 - 13:52 Uhr
jo. ABER. private ist nur dann wirklich private, wenn das files Verzeichnis an einem Ort erstellt wird, welcher vom Zugriff von Aussen geschützt ist -> sprich von Benützern, welche einfach die URL direkt eintippen.
Auf dem Hosting funktioniert das jedoch leider nicht. Deshalb versuche ich eine htaccess Datei zu entwickeln, welche einen ähnlichen Schutz bietet, jedoch im normal public folder. Hoffe, ich konnte mich jetzt verständlicher ausdrücken ;)
______________________________
Yet Another Drupal Site (YADS)
http://www.rapsli.ch
******************************
Hi Rapsli, nein, so einfach
am 10.01.2009 - 14:29 Uhr
Hi Rapsli,
nein, so einfach ist das ellein via .htaccess nicht zu bewerkstelligen, denn aus Sicht des Servers ist der Client immer derselbe, nämlich der Webbrowser. Ob die URL des Bildes von Hand eingegeben wurde, oder in einem Image-Tag in einem Forum oder einem Blog oder dergleichen referenziert wurde, .. das kann der Webserver so nicht unterscheiden. Er bekommt einfach nur den Request "GET {url}" und das ist es.
Was du machen könntest, wäre sowas in der Art despriv. Downloads von Drupal selbst zu implementieren. Dazu schützt du den Ordner komplett via .htaccess (Deny from all) und lieferst die Bilder durch ein PHP Skript aus. D.h. in einem Image-Tag steht dann als src="irgendwas.jpg" sondern sowas wie src="/pfad/zu/deinem/modul/image.php?img=irgendwas.jpg" . Das Skript hängt sich in Drupal ein, checkt, ob der aktuelle User das Recht hat das Bild anzuzeigen und wenn ja, liest es dieses über eine Dateioperation ein und spuckt es aus.
Das mal so grob dahingebrainstormt..
Ich hab sowas vor einer halben Ewigkeit (ist sicher 8 Jahre oder so her) mal in einer Art eigenem Mini-CMS gemacht - natürlich ohne Drupal-Integration ;)
BTW macht das Übercart Modul für downloadbare Produkte ja dasgleiche.
rapsli schrieb jo. ABER.
am 10.01.2009 - 14:31 Uhr
jo. ABER. private ist nur dann wirklich private, wenn das files Verzeichnis an einem Ort erstellt wird, welcher vom Zugriff von Aussen geschützt ist -> sprich von Benützern, welche einfach die URL direkt eintippen.
Auf dem Hosting funktioniert das jedoch leider nicht.
Das Verzeichnis muss dazu nicht zwingend außerhalb des Webs liegen. Es reicht eine passende .htaccess. Wenn diese bei deinem Hoster nicht geht, geht aber auch keine andere .htaccess basierte Lösung ;-)
Das komplette Drupal auf private zu stellen hat nur das Problem, dass es keinerlei Granularität gibt und einem dies die Performance ziemlich heftig in den Keller zieht.
thanks. ein mann ein wort ;)
am 10.01.2009 - 15:54 Uhr
thanks. ein mann ein wort ;) ... oky. damit werde ich es versuchen und damit wird es auch klappen -> klingt auf jeden fall sehr plausibel.
______________________________
Yet Another Drupal Site (YADS)
http://www.rapsli.ch
******************************
rapsli schrieb --so einfach
am 25.11.2010 - 09:50 Uhr
rapsli schrieb
--so einfach ist es leider nicht. Wie gesagt, es geht darum, das bestehende Modul zu erweitern. Ich bräuchte jemand, der sich gut mit htaccess und co auskennt.
--Ist es via htaccess möglich, den Zugriff auf eine Datei zu sperren bzw. freizugeben?
--sprich der User gibt die url direkt im browser ein -> wird gesperrt.
--der user geht durch einen drupal funktion, die datei wird angezeigt.
Mein Ordner für TNG ist innerhalb des Drupal-Verzeichnis, aber ich möchte auch, dass TNG nicht via www.mysite.xx/tng aufgerufen werden kann.
Hast du eine Lösung gefunden? Kann man die htaccess von Drupal entsprechend anpassen?
Danke für eine Hilfe
Franz
.htaccess-Generator
am 26.11.2010 - 08:31 Uhr
Eben gefunden, selber noch nicht ausprobiert:
http://www.fueralles.de/htaccess-generator.html - Drupal-Site ;-)
Ansonsten lohnt ein Blick ins Handbuch: .htaccess - Wofür brauche ich diese Datei und was bedeuten die ganzen Optionen?
Oder auch hier: http://aktuell.de.selfhtml.org/artikel/server/htaccess/
Danke, werde ich auch mal
am 26.11.2010 - 11:54 Uhr
Danke, werde ich auch mal versuchen. Habe aber schon eine ganze Reihe htaccess Versuche gemacht, nix funktioniert. Die Berechtigung für das Verzeichnis müsste eingeloggte drupal user zulassen und sonst niemand.
Serverebene
am 26.11.2010 - 12:58 Uhr
Die Berechtigung für das Verzeichnis müsste eingeloggte Drupal user zulassen und sonst niemand.
Das dürfte schwierig sein, da .htaccess auf Serverebene ansetzt, also noch ehe Drupal überhaupt läuft. Wenn du einen festen Kreis von Drupal-Benutzern hast, könntest du die natürlich rüberkopieren, aber sinnvoller dürfte doch der Einsatz eines der entsprechenden Module von Drupal sein.
Drupalmodule
am 26.11.2010 - 13:38 Uhr
Ein Genealogie Module für drupal gibt es schon, ist aber natürlich nicht so detailliert wie das für 30$ erhältliche TNG. Es scheint als ob ich damit leben müsste. Trotzdem danke für deine Hilfe.
Privater Dateizugriff
am 26.11.2010 - 14:19 Uhr
Kannst du das nicht einfach mit Drupals privatem Dateizugriff und ggf. einem Modul wie http://drupal.org/project/imce realisieren?
Drupalmodule
am 26.11.2010 - 14:58 Uhr
Mit Tng kann ich alle Daten unseres Stammbaumes online Nachführen, wir sind eine grosse Familie und meine Geschwister können ihre eigenen Zweige selbst verwalten. Du kannst ja mal auf dem Link reinschauen, den ich eigentlich nicht erlauben möchte. Es fehlt einfach der drupal Header www.menzi.ch/stammbaum