Re: [TYPO3-german] automatisch über Apache in TYPO3 einloggen

[Rivers Cuomo]

Hallo Christian, Thorsten und Florian,

erst mal vielen Dank für eure Hilfe und Entschuligung, dass ich mich so 
später melde.

Eure Vorschläge und Informationen sind sehr interessant. Aber ein paar 
Fragen hätte ich noch:

Man kann sich also nicht auf dem Apache Web Server einloggen, sondern der 
Apache weiß nur "wer man ist". Er kann das aber nicht Typo3 mitteilen. Hmmm, 
was macht das Module von SAP dann überhaupt für einen Sinn?
http://help.sap.com/saphelp_ep50sp6/helpdata/en/b9/bf4d25196711d6b1d100508b6b8a93/content.htm
Oder gibt es Web-Anwendungen, die mit dem Apache komunizieren können und 
erfahren wer angemeldet ist?

Ich hab mich jetzt mal mit der 2. Idee (von Florian) beschäftigt, der 
Zugriff auf das Logon Tickets. Ja, das SAP-Logon-Ticket ist einfach nur ein 
Cookie. Ich hab mir dazu ein kleines PHP-Skript gebastelt:

<?PHP

$cookieName = "MYSAPSSO2";

echo "Suche Cookie '$cookieName' ...<br>";

// Cookie suchen
$cookie2 = $_COOKIE[$cookieName];

// Prüfen ob gefunden
if ($_COOKIE[$cookieName]) {

	// Inhalt ausgeben:
    echo "... gefunden! Inhalt:<br>".$_COOKIE[$cookieName]."<br><br>";

	// Entschlüsseln
	$code = base64_decode($_COOKIE[$cookieName]);
	echo "Entschlüsselt:<br>".$code."<br><br>";

    // Benutzername suchen:
    $temp = strpos($code,"portal:",0);
    $temp = $temp + 7;
    $temp2 = strpos($code,"basicauthentication",$temp);
    $length = $temp2 - $temp;
	$name = substr($code,$temp,$length-3);
    echo "Gefundener Benutzername:<br>".$name;

    // Echtheit des Cookies überprüfen



} else {
	echo "Cookie ist nicht vorhanden!";
}

?>


Ich hab es geschafft, den Benutzernamen aus dem Cookie auszulesen, aber wie 
geht es nun weiter? Und wie sieht's mit der Sicherheit aus? Ich überprüfe ja 
nicht die Echtheit des Cookies, jemand könnte also einfach ein Cookie mit 
dem Namen "MYSAPSSO2" erstellen und einen Benutzernamen reinschreiben.

Vielen Dank und viele Grüße
Thimo Müller