Hi,

gibt es hier jemanden, der vielleicht schon mal einen Indy-HTTPServer realisiert hat und/oder mir Hilfe zu dem Sessionhandling und dem Userhandling geben kann, bzw. wie man das in Indy mal überhaupt macht.

Ziel ist folgendes: Ich habe in ein Programm eine kleinen Mini-HttpServer integriert. Diese generiert die Seiten, die jeweils gesendet werden.
Jetzt will ich das ganze noch mittels Anmeldeform noch etwas absichern. Muss kein Fort-Knox werden, nur im "normale" User ohne Berechtigung halt abzuhalten.

Das ganze soll nach folgendem Schema ablaufen:

- Wenn keine Session existiert dann soll die Logonform angezeigt werden
- Logonform übermittelt Username und Passwort
- Server vergibt nach gültigem User/Pass eine SessionID
- Solange SessionID existiert (löscht sich die über Timeout automatisch?) soll keine weitere Abfrage von User/Pass erfolgen.
- In den jeweiligen Formularen, die während eine Sitzung dann abgefragt werden, muss ich den jeweiligen User aber mittels der Session identifizieren können.

Alles in allem wohl genau das, was so ziemlich jede Webseite mit Anmeldung macht.
Allerdings finde ich diesbezüglich im Speziellen zu Indy recht wenig im Internet. Die Suche gestaltet sich auch schwierig, da so ziemlich immer auf die HTTP-Client-Seite eingegangen wird. Das Suchen nach begriffen wie httpServer führt mich ebenfalls immer zu Beschreibungen die auf HTTP-Client eingehen, da dort halt auch immer der Begriff HTTPServer eingebunden ist.

Kann mir jemand helfen?

Sessionhandling ist in Indy bereits eingebaut.

Der Indy HTTP Server Request enthält eine Session Property. Wenn die SessionID in Request.Session.SessionID nicht gesetzt ist, kann man den Request über ein Redirect auf die Login-Seite lenken. Werte kann man aus der Session mit Request.Session.Content.Values['key']; lesen.

p.s. SessionState muss auf True gesetzt werden, damit der HTTP Server Sessions verwaltet.

Danke für die Antwort. Mit meinst du :=''.

Gut, aber wie bekomme ich jetzt z.B. die User/Pass-Daten aus dem Formular in die Session, so dass bei weiteren Seitenaufrufen der User ermittelt werden kann?
Und was passiert bei Timeout? Wird die Session dann automatisch, serverseitig gelöscht? Wenn ja, was passiert aber mit Request.Session? Da würde ja weiterhin eine SessionID geliefert, das sie ja im Cookie gespeichert ist, oder entfernt das Indy bereits selbst, so dass sie dann wieder leer ist?

Die Formluardaten stehen im TIdHTTPRequest Objekt, das man im OnRequestOther behandelt. Damit kann man Benutzer und das Passwort validieren, und den Benutzernamen wenn nötig in eine Session-Variable schreiben.

Die Session wird nach einem einstellbaren Session-Timeout invalidiert. Ein erneutes Senden des Cookies nach dem Ende der Session stellt sie nicht wieder her, es wird lediglich eine neue Session gestartet.

Wie ich die Formulardaten auslese, weiß ich ja.
Es gibt doch in ARequestInfo AuthPassword und AuthUsername. Werden die automatisch mit bestimmten formulardaten bestückt, oder wofür werden diese genommen?

Und wie schreibe ich denn Username in die Session? Ich finde dort keine Möglichkeit.

Nein, AuthPassword und AuthUsername kennen das Loginformular und seinen HTML Code ja nicht. Sie werden bei Basic / Digest Authentifizierung gesetzt.

Request.Session.Content.Values['key']; ist auch zuweisbar. Dorthinein mit den eigenen Sessiondaten. Auch Objekte kann man in der Session ablegen, mit Request.Session.Content.Objects[Index].

Okay, ich habe jetzt sowas gemacht:
Ich setzte also in der Session den Username und einen Paramter "isValid".
Jetzt wäre ich davon ausgegangen, dass beim erneuten Aufruf einer Seite die Session automatisch gezogen wird (Halt solange sich nicht per Timeout entfernet wird) und ich somit den Parameter IsValid wieder auslesen kann. Ist aber nicht der Fall. Beim erneuten Aufruf ist IsValid=''.

Habe ich das mit den Sessions in Indy falsch verstanden?

So sieht meine Instanz von IdHTTPServer aus:

Erhält der Client ein Session-Cookie (in der Response auf das Senden des Login-Formulars) und sendet es zurück?

Wie kann ich das prüfen? Ich meine Gelesen zu haben, dass IdHttp generell mit SessionCokies arbeitet.
Ich weise die nirgends zu oder so.

Zumindest mal im Firefox gibt es diese Cookie.

Das ist schon mal ein Anfang

Hat die ARequestInfo.Session.SessionID auch den Wert den Firefox anzeigt?