Avatar billede fennec Nybegynder
22. juli 2005 - 09:26 Der er 15 kommentarer og
1 løsning

Redirect til loginside på andet domæne

Jeg er ved at lave et system, som tillader en bruger at logge ind på flere forskellige domæner. Jeg har derfor oprettet en database, som inderholder url'er til alle disse steder. Alle url's er af typen "http://www.etdomæne.dk/login.asp?user=etNaVn&pass=etPassWord" (med store og små bogstaver).

Hvis jeg tager disse url's og smider ind i adresselinjen, kan jeg fint logge på, men meningen er at brugeren skal se en liste over alle domæner, trykke på et link, hvorefter jeg slår url'en op i databasen og laver en redirect.

Problemet er bare at jeg ikkke altid bliver logget ind, når jeg bruger redirect. Efter flere tests er jeg kommet frem til, at jeg kan logge ind, hvis jeg lige har logget på med adresselinjen, også prøver med redirect, men det tror jeg skyldes nogle sessions/cookies.

Hvorfor kan jeg ikke logge ind med:
response.redirect("http://www.etdomæne.dk/login.asp?user=etNaVn&pass=etPassWord")

Når det virker fint at smide det i adresselinjen??
Avatar billede busschou Praktikant
22. juli 2005 - 09:33 #1
Jeg kan ikke forklare hvorfor det ikke virker
Men hvis du alligevel hiver alt ud af db for at lave en liste med links, som brugeren kan vælge imellem, hvorefter du så igen slår op i db og laver en redirect
Hvorfor så ikke bare lave dem som "rigtige" links i første omgang?
Avatar billede fennec Nybegynder
22. juli 2005 - 09:49 #2
Fordi brugerne ikke må kunne se login oplysningerne.
Avatar billede busschou Praktikant
22. juli 2005 - 09:54 #3
øhh bøhh så er jeg ikke med
Når du laver en response.redirect og putter login og password i en querystring
Så kan brugeren ligsom sagtens se dem når der er redirectet, så står de jo i adresselinjen
Så om de kan se login oplysningerne i adresselinjen, eller i html koden for et link er vel lige gyldig?
Og hvis de gerne må logge ind, hvorfor skulle de så ikke måtte kende login oplysningerne?

Hvis du vil undgå man ser din GET request så skal du benytte Server.Transfer i stedet
Men den ved jeg ikke så meget om, og tror slet ikke den er god når man skal til andre domæner
Avatar billede busschou Praktikant
22. juli 2005 - 10:05 #4
er det fordi du laver redirecten i en iframe så man ikke ser oplysningerne i adresselinjen? For i FireFox kan man jo blot bede den om at vise side oplysninger for iframen, og så fremkommer adressen ligeså tydelig der alligevel
Avatar billede busschou Praktikant
22. juli 2005 - 10:06 #5
men ok, jeg ved godt det ikke svarer dit spørgsmål :o)
Jeg undrer mig bare du forsøger skjule noget som ikke kan skjules såmen
Men måske andre har et svar på det oprindelige spørgsmål :o)
Avatar billede fennec Nybegynder
22. juli 2005 - 10:16 #6
Jeps jeg laver redirecten i et frameset, så de ikke kan se loginoplysningerne i url'en. Login siderne redirecter alle selv igen enten til en OK side eller forkert login side, så login oplysningerne vil ikke være mulige at få.
Avatar billede busschou Praktikant
22. juli 2005 - 10:20 #7
alt er muligt ;o)
I og med ens computer jo requester siden så kan man sagtens fange oplysningerne hvis man vil.
Men selvfølgelig skal man bare gøre det besværlig for den normale bruger
Man kan jo nok aldrig undgå at nogen kan sidde og finde ud af det :o)
--
Jeg forstår så stadig ikke at brugerne ikke må kende login og password, når de alligevel har adgang - det virker ulogisk
Men du har jo sikkert dine grunde :o)

Håber du får det løst
Avatar billede fennec Nybegynder
22. juli 2005 - 10:29 #8
Den enkelte bruger skal betale for de antal minutter han bruger systemet. Derfor har jeg et frameset, som tæller minutter (og nogle sikkerhedsfunktioner) samt hovedvinduet. Hvis brugerne kender login oplysningerne, kan han gå uden om systemet, og har derfor gratis adgang.
Avatar billede fennec Nybegynder
22. juli 2005 - 10:31 #9
Hele mit problem er sådan set bare hvad forskellen er på en redirect (som ikke virker), og skrive url'en i adresselinjen (som virker).
Avatar billede busschou Praktikant
22. juli 2005 - 10:32 #10
ahh ok så forstår jeg det bedre, og den er nok også svær at kringle anderledes
Jeg ville nu blot bare sige at det ikke kræver særlig meget viden for at lytte på hvad ens browser requester, og derved få oplysningerne, så længe de ikke er krypterede
Avatar billede busschou Praktikant
22. juli 2005 - 10:32 #11
ja det forstår jeg heller ikke
Avatar billede triggy Nybegynder
23. juli 2005 - 20:46 #12
Prøv at checke redirect-url'en efter du har åbnet siden. (evt. ved at skifte target til et nyt vindue)
JEg har nogle gange oplevet at redirect-kommando udskifter specialtegn i URL'en med %20 o.lign.
Avatar billede fennec Nybegynder
25. juli 2005 - 09:35 #13
Den er skam god nok.
Desuden sker der intet ved at den laver specialtegn i værdierne om til %xx. Det er faktisk det mest rigtige, da de tegn ikke er tilladt i en url. Denne kode bliver helt automatisk lavet tilbage til det oprindelige tegn, når man bruger request.querystring.

Der er desuden ikke special tegn i nogle af brugernavnene eller passwords, men jeg dobbelttjekkede lige alligevel :o)
Avatar billede triggy Nybegynder
25. juli 2005 - 23:16 #14
Det jeg tænkte på, var nu om den lavede ? -tegnet om, sådan at du ikke kunne fange den på Request.Query
Avatar billede fennec Nybegynder
26. juli 2005 - 08:16 #15
"Desværre" gør den ikke det, for så vidste jeg i det mindste hvad problemet var, men der er ingen tegn der bliver ændret :(
Avatar billede fennec Nybegynder
16. august 2005 - 13:53 #16
Lukker og prøver igen.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Kurser inden for grundlæggende programmering

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester