Zweistufige Loginprozedur mit Kundenverwaltung

[diballa]

Hallo liebe webEdition Gemeinde,
folgende dringende Problematik liegt an:

Der Kunde soll sich beim ersten Login nur mit seinem Usernamen anmelden. Nach erfolgreicher Anmeldung soll ihm ein default-Passwort angezeigt werden, welches er dann über den Usernamen hinaus in das passwort-Loginfeld eingibt. Ein abermaliger erfolgreicher Login führt den User dann auf ein Formular, um das default-Passwort selbstständig in der Kundenverwaltung zu ändern.
Logt sich der User später mit Usernamen und geändertem Passwort ein gelangt er auf die eigentliche Startseite des geschützten Bereichs.

Läßt sich der zweistufige Login mit we-Bordmitteln in einem (!) Login Template realisieren?
Oder sollte man auf der Einstiegsseite eine Weiche auf zwei verschiedene Logins, einen Erstlogin nur mit Username und Anzeige des Default-Passwortes und einen Folge-Login mit user/Pass und Weiterleitung auf die Passwortänderung. Nach dem Motto: Sind Sie das erste Mal hier dann hier entlang | Alle anderen da entlang.

Bitte gebt mir Ideen und Input, hat jemand schon ähnliches realisiert?

LG
Diballa

[mokraemer]

Du solltest nicht versuchen den Benutzer ohne Passwort "anzumelden", leite ihn doch solange als unangemeldet weiter.
Ich bezweifele aber, das du das hier vollständig mit we-Tags hinbekommst.
FYI: das Benutzerpasswort ist in Zukunft nicht mehr in der Session vorhanden!

[diballa]

Hallo mokraemer,

ich hab noch nicht soviel Erfahrung mit KV und Loginsystematik in webEdition. Ich weiss nicht genau, was du meinst mit "als unangemeldet weiterleiten".
Die User sind ja bereits in der KV eingetragen, haben allerdings noch kein Passwort.
Bin jetzt inzwischen soweit:
1. login: Die User loggen sich mit ihrem Usernamen ein (lassen das Passwort leer) und gelangen auf eine Seite, auf der sie ihr Passwort generieren. Schicken sie dieses Formular ab, werden neben dem Eintrag des Passwortes zwei Werte in den ergänzten KV-Feldern erster_login (1-->0) und zweiter_login (0-->1) überschrieben.
Weitere Logins sind dann nur noch mit Usernamen und dem selbstvergebenen Passwort möglich. Die Weiterleitung folgt dann natürlich direkt in den eigentlichen Content.
Es gibt für dieses Prozedere bestimmt noch ne elegantere Lösung (?) Gut wäre auch, wenn die User nach Generierung ihres Passwortes sofort ausgeloggt würden, Ihre Session verlieren und sich gleich neu einloggen müssen. Wie läßt sich das realisieren?

Und noch zwei generelle Fragen zur KV, habe dafür keine Dokumentation gefunden:
Was verbirgt sich hinter dem Reiter "second" wofür ist der Login, den man da eintragen kann, da?
Was bewirken die Selectboxen zum Auto-Login?
Was bedeutet: das Benutzerpasswort ist in Zukunft nicht mehr in der Session vorhanden? und wann wird das ca. soweit sein?

Und:
Gibt es inzwischen eine gut nachvollziehbare Lösung für eine "Passwort vergessen"-Funktion?

LG
Diballa

[ThomasGoebe]

Hallo Diballa,

hier mal ein Ansatz für eine Passwort-vergessen (besser Passwort zurücksetzen) Funktion, die Dir auch bei dem ersten Teil helfen könnte.

Du erstellst ein Formular, in dem der Benutzer ein eindeutiges Merkmal (sinnvoll E-Mail Adresse) sowie ein neues Passwort (inkl. zweitem Passwort erneut angeben Feld) angeben kann.

Nach dem Absenden prüfst Du, ob der Kunde existiert und trägst dann das Passwort in ein Extrafeld in der KV ein. Dazu noch ein weiteres Feld mit einem zufälligen Wert.
Gleichzeitig verschickst Du eine E-Mail mit eine Link, durch den das Passwort freigeschaltet wird. Der Link besteht entweder aus zwei Komponenten: z.B. id des users und dem zufälligen Wert oder aber nur aus dem zufälligen Wert, wenn dieser eindeutig ist und nicht im Formular schon angezeigt wird.

Klickt der Benutzer den Link an, wird das neue Passwort in das Passwortfeld in der KV eingetragen und eine Anmeldung ist möglich.

Das ganze kann noch mit einem Ablaufdatum versehen werden. Ist ein wenig PHP nötig, aber es funktioniert recht gut.

In Deinem Fall könntest Du also sagen: Sie haben noch kein Passwort? Tragen Sie hier Ihre E-Mail Adresse und das gewünschte Passwort ein, wir senden Ihnen dann direkt einen Link zum Freischalten zu.

Vielleicht hilft es.

Gruß
Thomas

PS: wir planen, in Zukunft Passwörter nur noch verschlüsselt in der DB zu speichern (natürlich wird es eine Einstellung geben, um das zu konfigurieren). In dem Fall können Passwörter nicht mehr zugesandt, sondern nur noch zurückgesetzt werden.

[diballa]

hallo Thomas,

danke für den geschilderten Ansatz.

Da ich kein PHP-Spezi bin, wäre, um Deinen Ansatz besser nachvollziehen zu können, ein kleines Codebeispiel sehr hilfreich für mich.
Wie prüfe ich und schreibe Passwörter und zufällige Werte in KV-Felder, wie verschicke ich ne mail mit dem generierten Link? usw.
Gerade der Bereich Login/KV ist von je her ja nicht sehr ausführlich dokumentiert. Ich könnte mir vorstellen, dass das auch anderen weiterhelfen würde.

Ich habe die "Passwort vergessen-Funktion" aus dem Post von Remy aus dem Thread:
http://forum.webedition.org/viewtopic.p ... n&start=30
gestern realisiert. Ist das vielleicht ne Basis für Deinen weitergehenden Ansatz?

Wenn ihr plant, Passworte nur noch verschlüsselt in die DABA zu schreiben, ab wann wird das ca. soweit sein?

LG
Diballa

[mokraemer]

Ist mal für die 6.4 anvisiert, kann sich aber noch ändern:
http://qa.webedition.org/tracker/view.php?id=4572

Problem ist, wie genau man den Übergang macht das bestehende Systeme nicht kaputt gehen oder angepaßt werden können - denn leider brauchen viele über irgendwelche Wege dann doch mal wieder die Klartext-Passwörter um bspw. mit externen Diensten zu kommunizieren oder auch für den Datenabgleich - da ist der Hund begraben.