Login über direkten Link á la login.php?user=demo&pw=123

**qfler** · 23.08.2010, 13:57

Hallo,
ich brauche die Möglichkeit dass sich bestimmte Benutzer über direkte Links anmelden können und keine weitere Anmeldung mehr erforderlich ist. Gibt es eine Möglichkeit einen Link à la www.demo.de/login.php?user=demo&pw=demopw aufzurufen und dadurch den Login auszulösen?

Natürlich werden die Daten in der URL dann noch verschlüsselt, so dass sie nicht für jedermann nachvollziebar und auch etwas besser geschützt sind.

Hat da von euch schon mal jemand was in diese Richtung gemacht? Welche Datei wäre der richtige Ansatzpunkt?

Danke!

**xtra** · 23.08.2010, 14:11

Zitat von qfler

Hallo,
ich brauche die Möglichkeit dass sich bestimmte Benutzer über direkte Links anmelden können und keine weitere Anmeldung mehr erforderlich ist. Gibt es eine Möglichkeit einen Link à la www.demo.de/login.php?user=demo&pw=demopw aufzurufen und dadurch den Login auszulösen?

Grundsaetzlich kannst du das durch eine eigene Extension machen, die die get parameter in post umbiegt.
Ich rate davon jedoch ab. Da kannst du dann gleich auch die Authentifizierung weglassen oder aber, wenn unbedingt login per url, mit einem (onetime) hash welches du an den jeweiligen user klemmst, den user einloggen.

Zitat von qfler

Natürlich werden die Daten in der URL dann noch verschlüsselt, so dass sie nicht für jedermann nachvollziebar und auch etwas besser geschützt sind.

Eine derartige Verschlysselung ist wohl fyr Passwoerter kaum ausreichend, da sie umgekehrt werden kann (ansonsten weiss Contao ja nicht was das Passwort war).

Ich finde, du solltest dir deine login-Vorgehensweise nochmal aus sicherheitstechnischer Sicht durch den Kopf gehen lassen.

Gruss
Chris

**qfler** · 23.08.2010, 14:16

Hallo xtra,

der Sicherheitsgedanke ist in diesem Fall nicht mit höchster Priorität zu sehen, da es um eine lokale Anwendung innerhalb eines im Intranet geschützten Bereichs geht. Es soll lediglich vermieden werden, dass sich ein Benutzer ein zweites Mal anmelden muss. Stattdessen sollen die Anmeldedaten aus der eigentlichen Anwendung (hat nichts mit contao zu tun) übernommen werden.

Könntest du mit dem Gedanken des eigenen Moduls noch etwas konkreter werden?

**psren** · 23.08.2010, 14:24

der normale login funktioniert übergibt die variable mit post, ich denke, dass xtra meint, dass es möglich ist ein script zu schreiben (z.B. autologin.php) indem dann die get-variablen abgerufen werden und dann per post ans reguläre loginscript weitergegeben werden.

dann wäre http://www.deineseite.de/autologin.p...r&pw=123456789 ein gültiger login-link... und würde auf das standart loginformular verweisen.

**qfler** · 23.08.2010, 14:29

Ah, OK. Das klingt realisierbar. Danke.

**jan.theofel** · 23.08.2010, 18:28

Hi,

Zitat von qfler

der Sicherheitsgedanke ist in diesem Fall nicht mit höchster Priorität zu sehen, da es um eine lokale Anwendung innerhalb eines im Intranet geschützten Bereichs geht. Es soll lediglich vermieden werden, dass sich ein Benutzer ein zweites Mal anmelden muss. Stattdessen sollen die Anmeldedaten aus der eigentlichen Anwendung (hat nichts mit contao zu tun) übernommen werden.

Was du suchst, klingt sehr nach Single Sign-on: Nur einmal anmelden, in allen Systemen ohne erneute Anmeldung arbeiten können. Vielleicht wäre die Anbindung von Contao an ein solches System (so denn vorhanden) die bessere Lösung als Benutzernamen und Passwörter in URLs zu übermitteln.

Wenn das nicht in Frage kommt: Du könntest den checkCredentials-Hook verwenden um Contao beizubringen, das gecryptete Passwort aus dem Originalsystem zu akzeptieren. Dadurch müsstest du wenigstens kleine Passwörter im Klartext irgendwo abspeichern.

Jan