AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Algorithmen, Datenstrukturen und Klassendesign Delphi Indy HTTP-Sever Sessionhandling/Userhandling
Thema durchsuchen
Ansicht
Themen-Optionen

Indy HTTP-Sever Sessionhandling/Userhandling

Ein Thema von Hobbycoder · begonnen am 26. Mai 2017 · letzter Beitrag vom 26. Mai 2017
Antwort Antwort
Seite 1 von 2  1 2      
Hobbycoder

Registriert seit: 22. Feb 2017
955 Beiträge
 
#1

Indy HTTP-Sever Sessionhandling/Userhandling

  Alt 26. Mai 2017, 09:14
Hi,

gibt es hier jemanden, der vielleicht schon mal einen Indy-HTTPServer realisiert hat und/oder mir Hilfe zu dem Sessionhandling und dem Userhandling geben kann, bzw. wie man das in Indy mal überhaupt macht.

Ziel ist folgendes: Ich habe in ein Programm eine kleinen Mini-HttpServer integriert. Diese generiert die Seiten, die jeweils gesendet werden.
Jetzt will ich das ganze noch mittels Anmeldeform noch etwas absichern. Muss kein Fort-Knox werden, nur im "normale" User ohne Berechtigung halt abzuhalten.

Das ganze soll nach folgendem Schema ablaufen:

- Wenn keine Session existiert dann soll die Logonform angezeigt werden
- Logonform übermittelt Username und Passwort
- Server vergibt nach gültigem User/Pass eine SessionID
- Solange SessionID existiert (löscht sich die über Timeout automatisch?) soll keine weitere Abfrage von User/Pass erfolgen.
- In den jeweiligen Formularen, die während eine Sitzung dann abgefragt werden, muss ich den jeweiligen User aber mittels der Session identifizieren können.

Alles in allem wohl genau das, was so ziemlich jede Webseite mit Anmeldung macht.
Allerdings finde ich diesbezüglich im Speziellen zu Indy recht wenig im Internet. Die Suche gestaltet sich auch schwierig, da so ziemlich immer auf die HTTP-Client-Seite eingegangen wird. Das Suchen nach begriffen wie httpServer führt mich ebenfalls immer zu Beschreibungen die auf HTTP-Client eingehen, da dort halt auch immer der Begriff HTTPServer eingebunden ist.

Kann mir jemand helfen?
Gruß Hobbycoder
Alle sagten: "Das geht nicht.". Dann kam einer, der wusste das nicht, und hat's einfach gemacht.

Geändert von Hobbycoder (26. Mai 2017 um 10:12 Uhr)
  Mit Zitat antworten Zitat
mjustin

Registriert seit: 14. Apr 2008
3.006 Beiträge
 
Delphi 2009 Professional
 
#2

AW: Indy HTTP-Sever Sessionhandling/Userhandling

  Alt 26. Mai 2017, 10:01
Sessionhandling ist in Indy bereits eingebaut.

Der Indy HTTP Server Request enthält eine Session Property. Wenn die SessionID in Request.Session.SessionID nicht gesetzt ist, kann man den Request über ein Redirect auf die Login-Seite lenken. Werte kann man aus der Session mit Request.Session.Content.Values['key']; lesen.

p.s. SessionState muss auf True gesetzt werden, damit der HTTP Server Sessions verwaltet.
Michael Justin

Geändert von mjustin (26. Mai 2017 um 10:04 Uhr)
  Mit Zitat antworten Zitat
Hobbycoder

Registriert seit: 22. Feb 2017
955 Beiträge
 
#3

AW: Indy HTTP-Sever Sessionhandling/Userhandling

  Alt 26. Mai 2017, 10:09
Sessionhandling ist in Indy bereits eingebaut.

Der Indy HTTP Server Request enthält eine Session Property. Wenn die SessionID in Request.Session.SessionID nicht gesetzt ist, kann man den Request über ein Redirect auf die Login-Seite lenken. Werte kann man aus der Session mit Request.Session.Content.Values['key']; lesen.

p.s. SessionState muss auf True gesetzt werden, damit der HTTP Server Sessions verwaltet.
Danke für die Antwort. Mit
Zitat:
Wenn die SessionID in Request.Session.SessionID nicht gesetzt ist
meinst du :=''.

Gut, aber wie bekomme ich jetzt z.B. die User/Pass-Daten aus dem Formular in die Session, so dass bei weiteren Seitenaufrufen der User ermittelt werden kann?
Und was passiert bei Timeout? Wird die Session dann automatisch, serverseitig gelöscht? Wenn ja, was passiert aber mit Request.Session? Da würde ja weiterhin eine SessionID geliefert, das sie ja im Cookie gespeichert ist, oder entfernt das Indy bereits selbst, so dass sie dann wieder leer ist?
Gruß Hobbycoder
Alle sagten: "Das geht nicht.". Dann kam einer, der wusste das nicht, und hat's einfach gemacht.
  Mit Zitat antworten Zitat
mjustin

Registriert seit: 14. Apr 2008
3.006 Beiträge
 
Delphi 2009 Professional
 
#4

AW: Indy HTTP-Sever Sessionhandling/Userhandling

  Alt 26. Mai 2017, 10:22
Gut, aber wie bekomme ich jetzt z.B. die User/Pass-Daten aus dem Formular in die Session, so dass bei weiteren Seitenaufrufen der User ermittelt werden kann?
Und was passiert bei Timeout? Wird die Session dann automatisch, serverseitig gelöscht? Wenn ja, was passiert aber mit Request.Session? Da würde ja weiterhin eine SessionID geliefert, das sie ja im Cookie gespeichert ist, oder entfernt das Indy bereits selbst, so dass sie dann wieder leer ist?
Die Formluardaten stehen im TIdHTTPRequest Objekt, das man im OnRequestOther behandelt. Damit kann man Benutzer und das Passwort validieren, und den Benutzernamen wenn nötig in eine Session-Variable schreiben.

Die Session wird nach einem einstellbaren Session-Timeout invalidiert. Ein erneutes Senden des Cookies nach dem Ende der Session stellt sie nicht wieder her, es wird lediglich eine neue Session gestartet.
Michael Justin
  Mit Zitat antworten Zitat
Hobbycoder

Registriert seit: 22. Feb 2017
955 Beiträge
 
#5

AW: Indy HTTP-Sever Sessionhandling/Userhandling

  Alt 26. Mai 2017, 10:35
Wie ich die Formulardaten auslese, weiß ich ja.
Es gibt doch in ARequestInfo AuthPassword und AuthUsername. Werden die automatisch mit bestimmten formulardaten bestückt, oder wofür werden diese genommen?

Und wie schreibe ich denn Username in die Session? Ich finde dort keine Möglichkeit.
Gruß Hobbycoder
Alle sagten: "Das geht nicht.". Dann kam einer, der wusste das nicht, und hat's einfach gemacht.

Geändert von Hobbycoder (26. Mai 2017 um 10:39 Uhr)
  Mit Zitat antworten Zitat
mjustin

Registriert seit: 14. Apr 2008
3.006 Beiträge
 
Delphi 2009 Professional
 
#6

AW: Indy HTTP-Sever Sessionhandling/Userhandling

  Alt 26. Mai 2017, 10:46
Wie ich die Formulardaten auslese, weiß ich ja.
Es gibt doch in ARequestInfo AuthPassword und AuthUsername. Werden die automatisch mit bestimmten formulardaten bestückt, oder wofür werden diese genommen?

Und wie schreibe ich denn Username in die Session? Ich finde dort keine Möglichkeit.
Nein, AuthPassword und AuthUsername kennen das Loginformular und seinen HTML Code ja nicht. Sie werden bei Basic / Digest Authentifizierung gesetzt.

Request.Session.Content.Values['key']; ist auch zuweisbar. Dorthinein mit den eigenen Sessiondaten. Auch Objekte kann man in der Session ablegen, mit Request.Session.Content.Objects[Index].
Michael Justin
  Mit Zitat antworten Zitat
Hobbycoder

Registriert seit: 22. Feb 2017
955 Beiträge
 
#7

AW: Indy HTTP-Sever Sessionhandling/Userhandling

  Alt 26. Mai 2017, 11:30
Okay, ich habe jetzt sowas gemacht:
Delphi-Quellcode:
  doc:=ARequestInfo.Document;
  if FRooms.HTTPSettngs.LogonActive and (ARequestInfo.Session.Content.Values['isValid']<>'true') then
  begin
    if ((doc='/logon.php') and FRooms.HTTPSettngs.IndexActive) then begin
      if ARequestInfo.Params.IndexOfName('username')>-1 then
      begin
        username:=ARequestInfo.Params.Values['username'];
        if ARequestInfo.Params.IndexOfName('password')>-1 then
        begin
          password:=ARequestInfo.Params.Values['password'];
          if User(UserName)<>nil then
          begin
            ARequestInfo.Session.Content.Values['username']:=UserName;
            ARequestInfo.Session.Content.Values['isValid']:='true';
            AResponseInfo.Redirect('/');
            Exit;
          end;
        end;
      end;
    end;
    AResponseInfo.ResponseNo:=200;
    AResponseInfo.ContentText:=GenerateLogonDoc;
  end else begin
...
  end;
Ich setzte also in der Session den Username und einen Paramter "isValid".
Jetzt wäre ich davon ausgegangen, dass beim erneuten Aufruf einer Seite die Session automatisch gezogen wird (Halt solange sich nicht per Timeout entfernet wird) und ich somit den Parameter IsValid wieder auslesen kann. Ist aber nicht der Fall. Beim erneuten Aufruf ist IsValid=''.

Habe ich das mit den Sessions in Indy falsch verstanden?

So sieht meine Instanz von IdHTTPServer aus:
Delphi-Quellcode:
  FHTTP:=TIdHTTPServer.Create(nil);
  if FRooms.HTTPSettngs.OnlySSL then
  begin
    FHTTP.IOHandler:=FIdServerIOHandlerSSLOpenSLL;
  end;
  FHTTP.AutoStartSession:=True;
  FHTTP.SessionState:=True;
  FHTTP.ParseParams:=True;
  FHTTP.Bindings.Clear;
  FHTTP.SessionTimeOut:=300;
  FHTTP.SessionIDCookieName:='MyTextCookie';
  for i:=0 to FRooms.HTTPSettngs.IPs.Count-1 do
  begin
    if (FRooms.HTTPSettngs.Port>0) and (not FRooms.HTTPSettngs.OnlySSL) then
    begin
      with FHTTP.Bindings.Add do
      begin
        IP:=FRooms.HTTPSettngs.IPs[i];
        Port:=FRooms.HTTPSettngs.Port;
        ListenParams:=ListenParams+IP+':'+IntToStr(Port)+' ';
      end;
    end else
    if (FRooms.HTTPSettngs.SSLPort>0) and (FRooms.HTTPSettngs.OnlySSL) then
    begin
      with FHTTP.Bindings.Add do
      begin
        IP:=FRooms.HTTPSettngs.IPs[i];
        Port:=FRooms.HTTPSettngs.SSLPort;
        ListenParams:=ListenParams+IP+':'+IntToStr(Port)+' ';
      end;
    end else begin
      with FHTTP.Bindings.Add do
      begin
        IP:=FRooms.HTTPSettngs.IPs[i];
        Port:=80;
        ListenParams:=ListenParams+IP+':'+IntToStr(Port)+' ';
      end;
    end;
  end;
  FHTTP.OnCommandGet:=OnCommandGet;
  FHTTP.OnCommandOther:=OnCommandOther;
Gruß Hobbycoder
Alle sagten: "Das geht nicht.". Dann kam einer, der wusste das nicht, und hat's einfach gemacht.
  Mit Zitat antworten Zitat
mjustin

Registriert seit: 14. Apr 2008
3.006 Beiträge
 
Delphi 2009 Professional
 
#8

AW: Indy HTTP-Sever Sessionhandling/Userhandling

  Alt 26. Mai 2017, 11:47
Habe ich das mit den Sessions in Indy falsch verstanden?
Erhält der Client ein Session-Cookie (in der Response auf das Senden des Login-Formulars) und sendet es zurück?
Michael Justin

Geändert von mjustin (26. Mai 2017 um 11:51 Uhr)
  Mit Zitat antworten Zitat
Hobbycoder

Registriert seit: 22. Feb 2017
955 Beiträge
 
#9

AW: Indy HTTP-Sever Sessionhandling/Userhandling

  Alt 26. Mai 2017, 11:59
Wie kann ich das prüfen? Ich meine Gelesen zu haben, dass IdHttp generell mit SessionCokies arbeitet.
Ich weise die nirgends zu oder so.

Zumindest mal im Firefox gibt es diese Cookie.
Gruß Hobbycoder
Alle sagten: "Das geht nicht.". Dann kam einer, der wusste das nicht, und hat's einfach gemacht.

Geändert von Hobbycoder (26. Mai 2017 um 12:02 Uhr)
  Mit Zitat antworten Zitat
mjustin

Registriert seit: 14. Apr 2008
3.006 Beiträge
 
Delphi 2009 Professional
 
#10

AW: Indy HTTP-Sever Sessionhandling/Userhandling

  Alt 26. Mai 2017, 12:09
Zumindest mal im Firefox gibt es diese Cookie.
Das ist schon mal ein Anfang

Hat die ARequestInfo.Session.SessionID auch den Wert den Firefox anzeigt?
Michael Justin
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:15 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz