Rechtesystem für meine Website?

Hi liebe Community!

Ich möchte auf meiner Webseite ein Rechtesystem realisieren, jedoch bin ich mir nicht sicher, was die optimalste Lösung dafür ist. Es geht darum, dass wenn ich überprüfen will, ob ein User eine bestimmte Aktion durchführen darf, einfach überprüfe, ob diese Berechtigung für diesen User freigegeben ist. Meiner Meinung nach wäre es nicht gerade sinnvoll, für jede Berechtigung ein Attribut in einer Datenbank zu erstellen, da es bei Änderungen zu viel Aufwand gäbe. Kann mir da jemand einen Tipp geben, wie ich so etwas am besten mache?

Danke im Voraus

Pfuffi

5 Antworten

Vom Beitragsersteller als hilfreich ausgezeichnet

Sawascwoolf

25.09.2015, 09:12

Hi,

also wenn du tatsächlich eine Seite von Grund auf erstellen willst mit Nutzer basiertem Berechtigungssystem, hast du einen weiten Weg vor dir. Eventuell ist es sinnvoller auf ein CMS zurückzugreifen.

Je nach Anwendung bietet sich Drupal (sehr mächtige = hohe Einarbeitungszeit) oder Wordpress (etwas weniger mächtig = schneller Einstieg) + Members (ein Plugin).

Nun aber zur eigentlichen Frage:

um das ganze wirklich professionell und Zukunftsfähig zu gestalten benötigst du mehrere Tabellen:

User (sollte ja sowieso schon vorhanden sein)
Roles (Benutzerrollen zur Rollen basierten Rechtevergabe)
User-Roles (Zuordnung von Usern zu Roles)
Role-Permissions (Zuordnung von Roles zu einer Berechtigung)
(User-Permissions) (Zuordnung von Berechtigungen zu einem User)

Die Struktur solltest du einfach so aufbauen:

Nur Rechte die freigegeben sein sollen werden in der Datenbank gespeichert, solltest du eine neue Berechtigung einführen hat also zunächst keiner Zugriff darauf. Benutzerrollen sollten immer weniger oder gleich viele Berechtigungen besitzen wie ein zugeordneter User.

Mikkey

25.09.2015, 21:23

Mit irgendeiner festen Rechtestuktur, womöglich noch mit einer Bit-Struktur wirst Du m.E. nicht froh.

Standard für solche Zwecke ist eine Kombination aus Tabellen ähnlich wie von sawaswolf vorgeschlagen:

User

Roles

Rights

User_Roles

Roles_Rights

Wenn Du bei einer solchen Struktur Probleme mit der Funktion hast, ist es auch ganz einfach in irgendeinem Programmierforum Hilfe zu holen, jeder, der etwas Ähnliches schon mal gemacht hat, wird die Struktur verstehen.

wolfgang1956

26.09.2015, 13:26

Meiner Meinung nach wäre es nicht gerade sinnvoll, für jede Berechtigung ein Attribut in einer Datenbank zu erstellen, da es bei Änderungen zu viel Aufwand gäbe.

Programmieren wird in diesem Fall zur Fleißaufgabe. Das geht nicht anders. Woher soll der Rechner oder die Webseite sonst erfahren, wer was darf?

Wenn man sich Unix, Linux, Windows, OS X … ansieht, kann man auch dort bestimmte Zugriffsrechte auf dem Computer festlegen. Dort ist dies im Prinzip ebenso implementiert. Da konnten die Systemprogrammierer auch nicht klagen, dass dies „viel Arbeit“ ist.

Prinzipiell ist der Computer immer mehr oder weniger auf unsere Eingaben angewiesen. Also mußt du die Rechte einzelner Nutzer deiner Seite auch einzeln setzen. Der Computer kann das nicht!

RakonDark

Nutzer, der sehr aktiv auf gutefrage ist

im Thema programmieren

25.09.2015, 09:04

jede stelle gilt für einen bereich . wie beim unix dateisystem

und dann

kannst du es mit BIT operatoren machen

000010

und dann mit AND und einer MASKE gucken ob es war wird

000010

&& (BIT AND)

111111

gleich

000010

also WERT AND MASKE == 000010

entsprechend gibts natürlich Dezimal

also

(2 && 255 == 2) ergibt TRUE

(3 && 255 == 2) ergibt FALSE

Foosel

25.09.2015, 09:43

Ist eine schlechte Idee. Insbesondere wenn Rollen wegfallen oder mehrere dazukommen reichen dir Int und Long schnell nicht mehr aus und du speicherst als Text ab. Wartungsfreundlich ist das auch nicht.

RakonDark

25.09.2015, 10:27

@Foosel

Je nachdem wie aufwendig sein Projekt überhaupt ist . Bringt ja auch nichts wie oben gleich mit X Tabellen anzufangen wenn er nur paar Rechte braucht . Also ist es keine schlechte Idee sondern ein Anwendungsfall . Für meine Zwecke wäre Deins eine schlechte Idee ;)

pfuffi

Beitragsersteller

25.09.2015, 09:35

Danke für deine Antwort! Da ich mich nicht mit BIT-Operatoren auskenne, habe ich nicht gerade sehr viel Ahnung, wie deine Methode zu realisieren ist. Eine etwas einfachere Erklärung wäre sehr nett, damit auch ich es begreifen kann. ^^

RakonDark

25.09.2015, 10:32

@pfuffi

Also wenn Du keine BIT operatoren hattest . Dann kann man das einfach mal Nachlesen . Das ist GrundlagenInformatik .

RakonDark

25.09.2015, 09:07

gibt natürlich einige operatoren um genau die richtigen werte und kombies zu prüfen .

RakonDark

25.09.2015, 09:19

@RakonDark

das beispiel ist schlecht gewählt

normal wenn du das da oben also 0000010 prüfen willst wäre richtig

2 && 2 == 2 = TRUE

3 && 2 == 2 = FALSE

mit der obrigen maske kannst du gucken ob z.b. alle werte gesetzt sind

also

255 && 255 == 255 = TRUE

3 && 255 == 255 = FALSE

na fällt dir was auf ;)

und mit anderen operatoren kannst du dann auch einzelne oder mehrere bits auf einmal setzen

verreisterNutzer

25.09.2015, 09:28

Hallo!

Hast du schon eine Datanbank angeschlossen?

Dann mache es mit einer Tabelle in der Datenbank.

Berechtigungen sind doch eher statisch -- (1: alles, 2:etwas 3: etwas weniger

und 4: gar nix).

Und jedem User (die ja wohl in der Datenbank sind) ein Attribut für Berechtigungen geben -- natürlich ist eine Änderung immer aufwendig, aufwendiger als keine Änderung.

(new Berechtigung = UPDATE TABLE USER SET Berechtigung = 4 WHERE USER = 'pfuffi')

Aber die Berechtigung gehört zum User, ich sehe auch keine andere, sinnvolle Möglichkeit.

Gruß

pfuffi

Beitragsersteller

25.09.2015, 09:31

Das wäre meiner Meinung nach die einfachste Methode, jedoch ist diese auch unpräzise. Was, wenn ich jede einzelne Aktion, die der User (oder die Gruppe) durchführt, kontrollieren möchte? In diesem Fall ist diese Methode ungeeignet, oder nicht? :)

verreisterNutzer

25.09.2015, 09:41

@pfuffi

"unpräzise" verstehe ich nicht, die Berechtigung (ist im Beispiel) entweder 1 oder 2 oder 3 oder 4, und irgendwie musst du ja auch jeder Aktion eine Berechtigung geben (diese Berechtigung brauche ich mindestens) , und das über prüfen machst du ja nicht von Hand

z.B. vor jeder Aktion

SELECT Berechtigung From USER;

IF USER.Berechtigung < AKTION.Berechtigung THEN <USER darf>

ELSE <USER darf nicht>

Kleine Anmerkung:: auch ich verwende manchmal noch Bit-Masken, aber ganz bestimmt nicht bei Web-Seiten (Bitmaske muss auch in die Datenbank) -- im allgemeinen halte ich Bitmasken gür veraltet bei den heutigen Rechnerumgebungen.

Gruß

Foosel

25.09.2015, 09:45

@pfuffi

Wenn du erwartest, dass du sehr viele Berechtigungen haben wirst, dann nimm eine m:n Tabelle
- User
- Permissions
- permissionPerUser: userId, permissionId
sehr schnell indexierbar & wartbar und übersichtlich

pfuffi

Beitragsersteller

25.09.2015, 10:13

@Foosel

Wenn ich Solch eine Tabellenstruktur erstelle, wie würde dann die abfrage der Berechtigungen aussehen? Verstehe ich das so richtig?:

SELECT * FROM Perm_per_User WHERE userID = 4 AND permissionID = 25

Und wenn die Anzahl rows>0 ist, dann ist dem User den Zugriff gewährt?

(Natürlich sind die IDs nur im Beispiel als Zahlen festgelegt)

Ähnliche Beiträge

Wie überprüfen Hochschulen Zeugnisse auf Echtheit?

Nein, ich will nicht mein Zeugnis fälschen :P

Ich frage mich nur, wie die Unis bei dem ganzen Ansturm von Studenten die Zeugnisse prüfen. Viele Fälscher scheinen ja über kurz oder lang aufzufliegen. Und mittlerweile kann man ja, mit dem richtigen Know-how, recht gute Fälschungen anfertigen.

Rufen die Notfalls bei der Schule an? Oder gibt es da irgendeine Datenbank, in der die Noten gespeichert sind? Und stimmt es, dass Unis verpflichtet sind, jedes einzelne Zeugnis zu prüfen? (hab ich irgendwo mal gelesen) Ist das nicht in riesen bürokratischer Aufwand?

...zum Beitrag

VSCode Erweiterung "SQLTools" Datenbank mit Java ansprechen?

HI,

ich hab mir die VSCode Erweiterung SQLTools installiert und eine Connection zu einer Postgres Datenbank hergestellt, die Datenbankverbindung ist nun in meinem Projekt zu sehen.

Wie kann ich nun diese Datenbank über mein Programm (Java) ansprechen, damit ich Änderungen an der Datenbank durchführen kann?

...zum Beitrag

Websocket und MySQL-Datenbank?

Hallo zusammen,

Wenn ich mit Javascript (zum Beispiel ein HTML5/Canvas-) Spiel programmieren will, sollte das auch sicher sein. Wie realisiere ich es also, dass z. B. bei jeder Positionsänderung des Spielers per Javascript die neue Position in eine auf dem Server liegende Datenbank eingetragen wird und bei jeder weiteren Änderung dieser Wert in der Datenbank verändert und der Spieler an der neuen Position angezeigt wird? (Hauptsächlich weiß ich nicht, wie das mit den Websockets und der Datenbank geht, aber auch der Javascript-Teil ist für mich schwierig - in PHP und ohne Websockets könnte ich's...)

Danke schon mal!

...zum Beitrag

M2 Speicher Löschen?

Ich habe heute eine neue M2 SSD eingebaut und von der alten das Betriebssystem und co geklont. Ich wollte jetzt alle Daten löschen von der alten...hat auch soweit alle gelöscht außer 3 Ordner (Programme, Programme x86, Windows) wenn ich da auf löschen gehe kommt eine Meldung : Sie brauchen Berechtigungen zum Durchführen des Vorgangs" "Sie müssen die erforderlichen Berechtigungen vom TrustedInstaller erhalten um Änderungen an diesem Ordner durchzuführen zu können"

Wie kann ich das löschen?

...zum Beitrag

Wie kann ich ein Programm löschen, dass nur von einem Administrator gelöscht werden kann, obwohl ich der Administrator bin?

Ich will gerade ein Programm deinstallieren, doch immer wenn ich dies versuche, erhalte ich die Meldung : "Setup konnte das Feature Control File nicht finden oder nicht auslesen [Errorcode: 7]". Und als ich versucht habe, das Porgramm unter * Lokaler Datenträger (C:) / Programme (x86) / "Programmordner " zu löschen, kommt die Meldung: "Sie benötigen Berechtigungen zur Durchführung des Vorgangs. Sie müssen die erforderlichen Berechtigungen von "Administratoren" erhalten, um Änderungen an diesem Ordner durchführen zu können". Ich bin allerdings der alleinige Administrator und verstehe die Meldung desshalb nicht. Wie könnte ich so ein Programm also löschen / deinstallieren? Danke :3

...zum Beitrag

Per PHP Onlinestatus eines Benutzers überprüfen

Guten Abend,

Ich möchte per PHP den online-Status eines Benutzers überprüfen und diesen auf meiner Webseite anzeigen lassen. Ist der User online, so soll hinter seinem Name [Online] stehen, ist er offline steht eben [Offline] dort.

Meine Idee war, sobald nach 5 Minuten keine Reaktion kommt, ist der Benutzer offline. Doch wie realisiere ich diese Idee?

Bitte eine genaue Beschreibung, auch mit dem timestamp, das verstehe ich bis jetzt noch garnicht.

Mit freundlichem Gruß,

Marco

...zum Beitrag

Zugriff auf die Supabase Auth Userdatenbank mit Laravel möglich?

Guten Tag,

ein Freund von mir arbeitet aktuell an einem P2P Marktplatz mit Laravel, während ich mich an einer dazugehörigen Flutter App probiere. Mir sprang dabei der Backend Service Supabase ins Auge, da dieser mir relativen Datenbanken arbeitet und er diese mithilfe von Laravel anzapfen kann. Nun habe ich gesehen, dass Supabase eine eigene Datenbank für die User führt, welche abgeschottet zu scheinen scheint. Für diese gäbe es super einfache Authentifizierungsfunktionen, allerdings weiß ich nicht, ob er diese mithilfe von Laravel auslesen bzw. beschreiben kann.

Meine Frage ist daher: Ist es möglich mit Laravel Zugrifg auf diese spezielle auth.user Datenbank zu bekommen oder sollte ich mit einer Public DB arbeiten und versuchen, das Authentifizierungssystem selbst in die Hand zu nehmen? Was wären sonst optimale Ansätze für eine API zwischen der Flutter App und der bereits bestehenden Laravel Webseite?

Wir sind beide noch sehr frisch im Thema und deswegen noch ein wenig unbeholfen.

Danke im Voraus! :)

...zum Beitrag

Eigene Software verkaufen (nur Theoretisch)?

Hallo ihr lieben,

ich Frage mich schon die ganze Zeit, was meine Software Wert sein könnte, welche ich für mein jetziges Unternehmen geschrieben habe. Das Programm erfasst Mitarbeiterdaten und verwaltet diese.

User Verwaltung mit Berechtigungen (wer darf was)
User Anlegen & Löschen (Datum / Uhrzeit)
Gelöschte User werden in eine zweite Tabelle geschrieben
Datensätze anlegen & Bearbeiten & Löschen
Doppelte Einträge Anzeigen
Drucker-Funktion
Login für die Mitarbeiter
Datenbank ist zur Zeit MS Access da keine Online / Netzwerk Lösung ist gewünscht ist
Anzeigen der Datenbank größe
Anzahl der Einträge
Protokoll Datei wird automatisch erstellt

Was meint ihr, was wäre die Software wert? Seit März diesen Jahres in der Entwicklung und es stecken schon viele viele Stunden arbeit, neben meiner Büroarbeit darin. Was meint ihr? Was könnte man dafür verlangen, wenn ich die Software verkaufen würde? g

...zum Beitrag

Bei SQLAlchemy (flask) Datenbank Tabelle Account überprüfen?

Ich arbeite seit einiger Zeit mit Flask und SQLAlchemy und bin auf die Idee gekommen, eine Webapp für meine Schulklasse zu bauen. Dort soll man sich einloggen können, auf den (Untis-) Stundenplan schauen können usw..

Allerdings hab ich noch nie ein Login gebaut. (Mit Flask oder Django)

Ich habe eine Datenbank wo Nutzer registriert sind und Nutzername, Passwort sowie die IP Adresse des Computers wo er/sie sich das letzte mal angemeldet haben gespeichert.

Ich habe also nun eine Account Datenbank, eine Registrierungsfunktion, aber wie kann ich im Login programmieren dass er nach dem Benutzernamen sucht und das Passwort überprüft? Dazu habe ich auch nichts im Internet gefunden.

Code: Hier klicken(drive)

Ich weiß der Code ist nicht gerade der sicherste, aber da werden ja auch nicht Zahlungsdaten drauf gespeichert.

Danke im voraus, Lennart

...zum Beitrag

Android App Entwicklung: Verschiedene Benutzerrollen?

Hallo alle zusammen,

ich möchte gerne anfangen mit der Android App Programmierung und möchte gerne ein kleines privates Projekt realisieren.

Es geht darum, dass zuerst ich als "SupderAdmin" Accounts anlegen kann (normale Admins), die widerum selbst Accounts anlegen können (normale User).

Je nachdem, welche Rolle man hat, stehen einem mehr Funktionalitäten zur Verfügung.

Ein Admin kann zum Beispiel einen normalen User anlegen. Der User hat, wenn er die App öffnet, seinen "Kontostand" und seine Einnahmen/Ausgaben vor Augen. Diese Beträge werden vom Admin festgelegt, d.h. der Admin gibt zuerst eine Gesamtsumme an. Wenn der User was eingekauft hat, erstellt der Admin einen Beitrag "Ausgabe" mit Details und Betrag und dieser Betrag wird automatisch dann von der Gesamtsumme abgezogen.

Sozusagen eine Online Banking App, nur dass Einnahmen/Ausgaben manuell eingetragen werden.

Frage gibt es eine Bibliothek o.Ä. in Java mit der die Benutzerrechte realisiert werden können.
Möchte ich gerne mit einer Datenbank arbeiten, die dann die Accounts speichert und die dazugehörigen Einnahmen Ausgaben usw. welche kostenlose Datenbank würdet ihr mir dafür empfehlen?

Das Projekt soll mit der Zeit bestimmt erweitert werden, weshalb ich mich nicht auf irgendwas beschränken will, das nur für die oben angezeigten Funktionalitäten erfüllt.

Vielen Dank!

...zum Beitrag

discord.py msg.channel.send in Funktion auslagern funktioniert nicht?

Ich programmiere einen Discord-Bot, der Admins ermöglicht, die nicknames der anderen Mitglieder auf dem Server zu ändern. Wenn der Bot nicht die Berechtigung hat, den nickname zu ändern (z. B. die der Admins), sendet er dir eine Direktnachricht. Wenn dies nicht möglich ist, wird eine Nachricht in demselben Textkanal gesendet, in dem der Admin den Befehl zum Ändern des Spitznamens geschrieben hat. Es hat einwandfrei funktioniert, aber jetzt möchte ich meinen Code vereinfachen und die Sache in eine Funktion packen, was jedoch nicht funktioniert.

async def dm(user_id, dm_content, server_content, channel):
    user = await bot.fetch_user(user_id)
    try:
        await user.send(dm_content)
    except discord.Forbidden:
        await msg.channel.send(server_content)
    return
async def on_message(msg):
  ***anderes Zeug***
  await dm(msg.author.id, "Ich habe keine Berechtigung, den Nickname zu ändern.", "Ich habe keine Berechtigung, den Nickname zu ändern. (Dir konnte dies nicht als DM zugestellt werden, überprüfe deine Einstellungen.)", msg.channel)

Fehlermeldung: 'msg' is not defined

Wie definiere ich msg bzw. warum muss ich das überhaupt tun, als ich es noch nicht in der Funktion hatte ging es ja auch.

Vielen Dank

...zum Beitrag

PHP/MySql wie überprüfen ob Nutzername bereits vergeben?

Wie würde ich das hier am besten mit einer If-Abfrage überprüfen bevor es etwas in die SQL Datenbank schreibt ?

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestDatenbank';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

...zum Beitrag

Datei lässt sich nicht löschen, verschieben oder umbenennen

Ich habe mir einen kurzen Videoclip heruntergeladen, und nun nach dem schauen wollte Ich ihn wieder löschen, allerdings, kommt die Meldung:

"SIe benötigen Berechtigungen zur Durchführung des Vorgangs.

Sie müssen die erforderlichen Berechtigungen von "den Administrator des Computers" erhalten", um Änderungen an dieser Datei durchführen zu können."

Ich kann die Datei weder verschieben, umbenennen, ausscheiden & einfügen oder löschen, für alles würden mir die Rechte fehlen. Obwohl Ich als einzigster Nutzer des PCs doch automatisch der Admin bin.

Ich würds ja mit der Shredder Software versuchen, aber dass ist ja nicht gut für SSDs

Nun brauche ich irgendeinen Rat

...zum Beitrag

Nextcloud MySQL ERROR 1064?

Hallo zusammen,

ich möchte mir gerade eine Nextcloud in einem LXC unter Proxmox einrichten.

Aktuell scheitert das aber an der Stelle, bei der ich dem User einen Zugriff auf die Datenbank gebe:

Erstellt wurde die Datenbank mit folgendem Command:

CREATE USER 'nextclouduser'@'localhost' IDENTIFIED BY 'demopassword';

Gefolgt von dem Command, der die Berechtigung auf die Database gibt:

GRANT ALL ON nextcloud.* TO 'nextclouduser'@'localhost' IDENTIFIED BY 'demopassword' WITH GRANT OPTION;

Hier bekomme ich folgenden Error:

GRANT ALL ON nextcloud.* TO 'nextclouduser'@'localhost' IDENTIFIED BY 'demopassword' WITH GRANT OPTION;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'IDENTIFIED BY 'demopassword' WITH GRANT OPTION' at line 1

Auf Google wurde ich zu dem Error nicht wirklich schlau...

Meine aktuelle MySQL Version ist die 8.0.28

...zum Beitrag

Was möchtest Du wissen?

Deinen Beitrag erstellen