Hi,

gibt es hier jemanden, der vielleicht schon mal einen Indy-HTTPServer realisiert hat und/oder mir Hilfe zu dem Sessionhandling und dem Userhandling geben kann, bzw. wie man das in Indy mal überhaupt macht.

Ziel ist folgendes: Ich habe in ein Programm eine kleinen Mini-HttpServer integriert. Diese generiert die Seiten, die jeweils gesendet werden.
Jetzt will ich das ganze noch mittels Anmeldeform noch etwas absichern. Muss kein Fort-Knox werden, nur im "normale" User ohne Berechtigung halt abzuhalten.

Das ganze soll nach folgendem Schema ablaufen:

- Wenn keine Session existiert dann soll die Logonform angezeigt werden
- Logonform übermittelt Username und Passwort
- Server vergibt nach gültigem User/Pass eine SessionID
- Solange SessionID existiert (löscht sich die über Timeout automatisch?) soll keine weitere Abfrage von User/Pass erfolgen.
- In den jeweiligen Formularen, die während eine Sitzung dann abgefragt werden, muss ich den jeweiligen User aber mittels der Session identifizieren können.

Alles in allem wohl genau das, was so ziemlich jede Webseite mit Anmeldung macht.
Allerdings finde ich diesbezüglich im Speziellen zu Indy recht wenig im Internet. Die Suche gestaltet sich auch schwierig, da so ziemlich immer auf die HTTP-Client-Seite eingegangen wird. Das Suchen nach begriffen wie httpServer führt mich ebenfalls immer zu Beschreibungen die auf HTTP-Client eingehen, da dort halt auch immer der Begriff HTTPServer eingebunden ist.

Kann mir jemand helfen?

Sessionhandling ist in Indy bereits eingebaut.

Der Indy HTTP Server Request enthält eine Session Property. Wenn die SessionID in Request.Session.SessionID nicht gesetzt ist, kann man den Request über ein Redirect auf die Login-Seite lenken. Werte kann man aus der Session mit Request.Session.Content.Values['key']; lesen.

p.s. SessionState muss auf True gesetzt werden, damit der HTTP Server Sessions verwaltet.

Danke für die Antwort. Mit meinst du :=''.

Gut, aber wie bekomme ich jetzt z.B. die User/Pass-Daten aus dem Formular in die Session, so dass bei weiteren Seitenaufrufen der User ermittelt werden kann?
Und was passiert bei Timeout? Wird die Session dann automatisch, serverseitig gelöscht? Wenn ja, was passiert aber mit Request.Session? Da würde ja weiterhin eine SessionID geliefert, das sie ja im Cookie gespeichert ist, oder entfernt das Indy bereits selbst, so dass sie dann wieder leer ist?

Die Formluardaten stehen im TIdHTTPRequest Objekt, das man im OnRequestOther behandelt. Damit kann man Benutzer und das Passwort validieren, und den Benutzernamen wenn nötig in eine Session-Variable schreiben.

Die Session wird nach einem einstellbaren Session-Timeout invalidiert. Ein erneutes Senden des Cookies nach dem Ende der Session stellt sie nicht wieder her, es wird lediglich eine neue Session gestartet.

Wie ich die Formulardaten auslese, weiß ich ja.
Es gibt doch in ARequestInfo AuthPassword und AuthUsername. Werden die automatisch mit bestimmten formulardaten bestückt, oder wofür werden diese genommen?

Und wie schreibe ich denn Username in die Session? Ich finde dort keine Möglichkeit.

Nein, AuthPassword und AuthUsername kennen das Loginformular und seinen HTML Code ja nicht. Sie werden bei Basic / Digest Authentifizierung gesetzt.

Request.Session.Content.Values['key']; ist auch zuweisbar. Dorthinein mit den eigenen Sessiondaten. Auch Objekte kann man in der Session ablegen, mit Request.Session.Content.Objects[Index].