"Jørn Andersen" <jorn@jorna.dk> skrev i en meddelelse
news:nrd5j3lu04cjdf1dks8oqj6nc9s5aa3vsg@4ax.com...
> Hej,
>
> Jeg er blevet lidt inspireret af noget AJAX-snak i .clientside til at
> lave en opslags-funktion i en medlemsdatabase.
>
> Det fungerer sådan set fint nok, men hvordan styrer man adgangskontrol i
> sådan en situation?
>
> Jeg har en "almindelig" ASP-login, som sætter en Session-variabel, som
> så checkes på alle (relevante) sider.
>
> AJAX'en fungerer ved at noget JScript på søgesiden kalder en separat
> "resultat"-side, som leverer data tilbage til søgesiden.
>
> Men denne forespørgsel kører jo nok i sin egen separate Session -
> ihvertfald giver den fejl, hvis jeg lægger mit adgangscheck ind på
> "resultat"-siden.
>
> Jeg har selvfølgelig adgangskontrol på selve søgesiden, men teoretisk
> kan man jo få adgang til resultatsiden, hvis blot man kender
> filnavn/placering.
> Jeg kan godt komme på et par mere elelr mindre gode ideer til at
> "begrænse risikoen" (checke referrer eller hashe forespørgslen), men
> helt gode synes jeg ikke de er.
>
> Er der nogen bud på, hvad "man" gør?
>
Jeg bruger PHP, og kender ikke ret meget til asp.
Login system, tilsvarende, med at sætte en session variabel.
Jeg har ikke de problemer med AJAX og Sessionen.
Jeg har flere sider, der kaldes via AJAX, og skal vises på een måde, hvis
det er en logget ind bruger der beder om den, og på en anden, hvis der ikke
er logget ind.
Og det virker fint med check på Session.
Jeg kan i øvrigt se ( i Firebug i FF), at Session-id overføres i headere i
AJAX kommunikation, så umiddelbart burde asp også kunne finde ud af det, på
tilsvarende vis.
I PHP skal jeg i hvert script aktivere session, og det går galt hvis man
glemmer det (der oprettes ny session, og den kender følgelig ikke gemte
værdier).
Der er ikke noget tilsvarende i asp, du har glemt?
Ellers, kan en løsning være at overføre een eller flere parametre som giver
adgang til søgningen, sammen med søgningens parametre, og checke dem i asp.
Birger
|