Delphi-PRAXiS
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Algorithmen, Datenstrukturen und Klassendesign (https://www.delphipraxis.net/78-algorithmen-datenstrukturen-und-klassendesign/)
-   -   Delphi Indy HTTP-Sever Sessionhandling/Userhandling (https://www.delphipraxis.net/192857-indy-http-sever-sessionhandling-userhandling.html)

Hobbycoder 26. Mai 2017 08:14
Indy HTTP-Sever Sessionhandling/Userhandling
 
Hi,

gibt es hier jemanden, der vielleicht schon mal einen Indy-HTTPServer realisiert hat und/oder mir Hilfe zu dem Sessionhandling und dem Userhandling geben kann, bzw. wie man das in Indy mal überhaupt macht.

Ziel ist folgendes: Ich habe in ein Programm eine kleinen Mini-HttpServer integriert. Diese generiert die Seiten, die jeweils gesendet werden.
Jetzt will ich das ganze noch mittels Anmeldeform noch etwas absichern. Muss kein Fort-Knox werden, nur im "normale" User ohne Berechtigung halt abzuhalten.

Das ganze soll nach folgendem Schema ablaufen:

- Wenn keine Session existiert dann soll die Logonform angezeigt werden
- Logonform übermittelt Username und Passwort
- Server vergibt nach gültigem User/Pass eine SessionID
- Solange SessionID existiert (löscht sich die über Timeout automatisch?) soll keine weitere Abfrage von User/Pass erfolgen.
- In den jeweiligen Formularen, die während eine Sitzung dann abgefragt werden, muss ich den jeweiligen User aber mittels der Session identifizieren können.

Alles in allem wohl genau das, was so ziemlich jede Webseite mit Anmeldung macht.
Allerdings finde ich diesbezüglich im Speziellen zu Indy recht wenig im Internet. Die Suche gestaltet sich auch schwierig, da so ziemlich immer auf die HTTP-Client-Seite eingegangen wird. Das Suchen nach begriffen wie httpServer führt mich ebenfalls immer zu Beschreibungen die auf HTTP-Client eingehen, da dort halt auch immer der Begriff HTTPServer eingebunden ist.

Kann mir jemand helfen?

mjustin 26. Mai 2017 09:01
AW: Indy HTTP-Sever Sessionhandling/Userhandling
 
Sessionhandling ist in Indy bereits eingebaut.

Der Indy HTTP Server Request enthält eine Session Property. Wenn die SessionID in Request.Session.SessionID nicht gesetzt ist, kann man den Request über ein Redirect auf die Login-Seite lenken. Werte kann man aus der Session mit Request.Session.Content.Values['key']; lesen.

p.s. SessionState muss auf True gesetzt werden, damit der HTTP Server Sessions verwaltet.

Hobbycoder 26. Mai 2017 09:09
AW: Indy HTTP-Sever Sessionhandling/Userhandling
 
Zitat:
Zitat von mjustin (Beitrag 1372773)
Sessionhandling ist in Indy bereits eingebaut.

Der Indy HTTP Server Request enthält eine Session Property. Wenn die SessionID in Request.Session.SessionID nicht gesetzt ist, kann man den Request über ein Redirect auf die Login-Seite lenken. Werte kann man aus der Session mit Request.Session.Content.Values['key']; lesen.

p.s. SessionState muss auf True gesetzt werden, damit der HTTP Server Sessions verwaltet.
Danke für die Antwort. Mit
Zitat:
Wenn die SessionID in Request.Session.SessionID nicht gesetzt ist
meinst du :=''.

Gut, aber wie bekomme ich jetzt z.B. die User/Pass-Daten aus dem Formular in die Session, so dass bei weiteren Seitenaufrufen der User ermittelt werden kann?
Und was passiert bei Timeout? Wird die Session dann automatisch, serverseitig gelöscht? Wenn ja, was passiert aber mit Request.Session? Da würde ja weiterhin eine SessionID geliefert, das sie ja im Cookie gespeichert ist, oder entfernt das Indy bereits selbst, so dass sie dann wieder leer ist?

mjustin 26. Mai 2017 09:22
AW: Indy HTTP-Sever Sessionhandling/Userhandling
 
Zitat:
Zitat von Hobbycoder (Beitrag 1372774)
Gut, aber wie bekomme ich jetzt z.B. die User/Pass-Daten aus dem Formular in die Session, so dass bei weiteren Seitenaufrufen der User ermittelt werden kann?
Und was passiert bei Timeout? Wird die Session dann automatisch, serverseitig gelöscht? Wenn ja, was passiert aber mit Request.Session? Da würde ja weiterhin eine SessionID geliefert, das sie ja im Cookie gespeichert ist, oder entfernt das Indy bereits selbst, so dass sie dann wieder leer ist?
Die Formluardaten stehen im TIdHTTPRequest Objekt, das man im OnRequestOther behandelt. Damit kann man Benutzer und das Passwort validieren, und den Benutzernamen wenn nötig in eine Session-Variable schreiben.

Die Session wird nach einem einstellbaren Session-Timeout invalidiert. Ein erneutes Senden des Cookies nach dem Ende der Session stellt sie nicht wieder her, es wird lediglich eine neue Session gestartet.

Hobbycoder 26. Mai 2017 09:35
AW: Indy HTTP-Sever Sessionhandling/Userhandling
 
Wie ich die Formulardaten auslese, weiß ich ja.
Es gibt doch in ARequestInfo AuthPassword und AuthUsername. Werden die automatisch mit bestimmten formulardaten bestückt, oder wofür werden diese genommen?

Und wie schreibe ich denn Username in die Session? Ich finde dort keine Möglichkeit.

mjustin 26. Mai 2017 09:46
AW: Indy HTTP-Sever Sessionhandling/Userhandling
 
Zitat:
Zitat von Hobbycoder (Beitrag 1372777)
Wie ich die Formulardaten auslese, weiß ich ja.
Es gibt doch in ARequestInfo AuthPassword und AuthUsername. Werden die automatisch mit bestimmten formulardaten bestückt, oder wofür werden diese genommen?

Und wie schreibe ich denn Username in die Session? Ich finde dort keine Möglichkeit.
Nein, AuthPassword und AuthUsername kennen das Loginformular und seinen HTML Code ja nicht. Sie werden bei Basic / Digest Authentifizierung gesetzt.

Request.Session.Content.Values['key']; ist auch zuweisbar. Dorthinein mit den eigenen Sessiondaten. Auch Objekte kann man in der Session ablegen, mit Request.Session.Content.Objects[Index].

Hobbycoder 26. Mai 2017 10:30
AW: Indy HTTP-Sever Sessionhandling/Userhandling
 
Okay, ich habe jetzt sowas gemacht:
Delphi-Quellcode:
  doc:=ARequestInfo.Document;
  if FRooms.HTTPSettngs.LogonActive and (ARequestInfo.Session.Content.Values['isValid']<>'true') then
  begin
    if ((doc='/logon.php') and FRooms.HTTPSettngs.IndexActive) then begin
      if ARequestInfo.Params.IndexOfName('username')>-1 then
      begin
        username:=ARequestInfo.Params.Values['username'];
        if ARequestInfo.Params.IndexOfName('password')>-1 then
        begin
          password:=ARequestInfo.Params.Values['password'];
          if User(UserName)<>nil then
          begin
            ARequestInfo.Session.Content.Values['username']:=UserName;
            ARequestInfo.Session.Content.Values['isValid']:='true';
            AResponseInfo.Redirect('/');
            Exit;
          end;
        end;
      end;
    end;
    AResponseInfo.ResponseNo:=200;
    AResponseInfo.ContentText:=GenerateLogonDoc;
  end else begin
...
  end;
Ich setzte also in der Session den Username und einen Paramter "isValid".
Jetzt wäre ich davon ausgegangen, dass beim erneuten Aufruf einer Seite die Session automatisch gezogen wird (Halt solange sich nicht per Timeout entfernet wird) und ich somit den Parameter IsValid wieder auslesen kann. Ist aber nicht der Fall. Beim erneuten Aufruf ist IsValid=''.

Habe ich das mit den Sessions in Indy falsch verstanden?

So sieht meine Instanz von IdHTTPServer aus:
Delphi-Quellcode:
  FHTTP:=TIdHTTPServer.Create(nil);
  if FRooms.HTTPSettngs.OnlySSL then
  begin
    FHTTP.IOHandler:=FIdServerIOHandlerSSLOpenSLL;
  end;
  FHTTP.AutoStartSession:=True;
  FHTTP.SessionState:=True;
  FHTTP.ParseParams:=True;
  FHTTP.Bindings.Clear;
  FHTTP.SessionTimeOut:=300;
  FHTTP.SessionIDCookieName:='MyTextCookie';
  for i:=0 to FRooms.HTTPSettngs.IPs.Count-1 do
  begin
    if (FRooms.HTTPSettngs.Port>0) and (not FRooms.HTTPSettngs.OnlySSL) then
    begin
      with FHTTP.Bindings.Add do
      begin
        IP:=FRooms.HTTPSettngs.IPs[i];
        Port:=FRooms.HTTPSettngs.Port;
        ListenParams:=ListenParams+IP+':'+IntToStr(Port)+' ';
      end;
    end else
    if (FRooms.HTTPSettngs.SSLPort>0) and (FRooms.HTTPSettngs.OnlySSL) then
    begin
      with FHTTP.Bindings.Add do
      begin
        IP:=FRooms.HTTPSettngs.IPs[i];
        Port:=FRooms.HTTPSettngs.SSLPort;
        ListenParams:=ListenParams+IP+':'+IntToStr(Port)+' ';
      end;
    end else begin
      with FHTTP.Bindings.Add do
      begin
        IP:=FRooms.HTTPSettngs.IPs[i];
        Port:=80;
        ListenParams:=ListenParams+IP+':'+IntToStr(Port)+' ';
      end;
    end;
  end;
  FHTTP.OnCommandGet:=OnCommandGet;
  FHTTP.OnCommandOther:=OnCommandOther;

mjustin 26. Mai 2017 10:47
AW: Indy HTTP-Sever Sessionhandling/Userhandling
 
Zitat:
Zitat von Hobbycoder (Beitrag 1372782)
Habe ich das mit den Sessions in Indy falsch verstanden?
Erhält der Client ein Session-Cookie (in der Response auf das Senden des Login-Formulars) und sendet es zurück?

Hobbycoder 26. Mai 2017 10:59
AW: Indy HTTP-Sever Sessionhandling/Userhandling
 
Wie kann ich das prüfen? Ich meine Gelesen zu haben, dass IdHttp generell mit SessionCokies arbeitet.
Ich weise die nirgends zu oder so.

Zumindest mal im Firefox gibt es diese Cookie.

mjustin 26. Mai 2017 11:09
AW: Indy HTTP-Sever Sessionhandling/Userhandling
 
Zitat:
Zitat von Hobbycoder (Beitrag 1372789)
Zumindest mal im Firefox gibt es diese Cookie.
Das ist schon mal ein Anfang :)

Hat die ARequestInfo.Session.SessionID auch den Wert den Firefox anzeigt?


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:35 Uhr.
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz