Avatar billede Slettet bruger
31. januar 2006 - 13:22 Der er 6 kommentarer og
1 løsning

Beskytte sider mod autoriseret adgang

Jeg har lavet en side, der sender en mail ud til en bruger. I denne mail modtager brugeren et link til en side, hvor han kan se oplysninger om sig selv... noget ala:

http://www.mitdomaine.dk/hemmeligeoplysninger.asp?brugerid=3249

Problemet i denne sammenhæng er, at hvis brugeren har bare det mindste kendskab til hvorddan WWW fungerer så kan han jo bare begynde at ændre i denne URL for at "fiske" efter andre sider med "hemmelige informationer" om andre... altså taste flg i sin browser:

http://www.mitdomaine.dk/hemmeligeoplysninger.asp?brugerid=3250
http://www.mitdomaine.dk/hemmeligeoplysninger.asp?brugerid=3251
http://www.mitdomaine.dk/hemmeligeoplysninger.asp?brugerid=3252
http://www.mitdomaine.dk/hemmeligeoplysninger.asp?brugerid=1583

osv osv....

Hvordan kan jeg lukke af for det... uden at spærre adgangen fra til siden med brugerens egne oplysninger?
Avatar billede Slettet bruger
31. januar 2006 - 13:24 #1
Spm. skulle nok have heddet "Beskytte sider mod uautoriseret adgang" - U-autoriseret... ;)
Avatar billede keysersoze Ekspert
31. januar 2006 - 13:34 #2
ved at sende flere parametre med i linket - fx;

http://www.mitdomaine.dk/hemmeligeoplysninger.asp?brugerid=3249&specialcode=jkw5984q723hsdklgy

Denne kode kan være knyttet til brugeren lige så vel som brugerid kan - eller alternativt lave en ny kode pr mail alt afhængig af behov.
Avatar billede morhan Novice
31. januar 2006 - 13:35 #3
Du kunne sætte en ekstra random generet parameter på
hemmeligeoplysninger.asp?brugerid=3250&r=10fjxG82mPzaq0

r skal så stemme overens med det der står i 3250's profil
Avatar billede Slettet bruger
31. januar 2006 - 13:36 #4
... og så skrive noget random generering til at skabe denne "nøgle" med?
Avatar billede ffsoft Praktikant
31. januar 2006 - 13:38 #5
Når brugeren er godkendt lægger du brugeren nummer i en sessionsvariabel:

session(brugerid) = 3249

på siden som kan tilgås med brugernummer laver du så et check:
if request.querystring(brugerid) = session(brugerid) then
' DoYourStuff
else
' GoToHell
end
Avatar billede Slettet bruger
31. januar 2006 - 13:55 #6
Keysersoze: du må gerne smide et svar ;)

Tak for hintet!
Avatar billede keysersoze Ekspert
31. januar 2006 - 19:47 #7
svar :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Kurser inden for grundlæggende programmering

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester